El uso de herramientas legítimas de administración y monitoreo remoto (RMM) entre los ciberdelincuentes que apuntan a empresas gubernamentales se ha vuelto tan generalizado que las agencias federales de inteligencia y las fuerzas del orden público de EE. UU. se han visto obligadas a emitir una advertencia conjunta.
En su alerta, la NSA, CISA y MS-ISAC dijeron que descubrieron información maliciosa (se abre en una pestaña nueva) actividad dentro de las redes pertenecientes a “múltiples agencias del poder ejecutivo civil federal (FCEB)”.
Se les pidió a las organizaciones que hicieran el análisis después de que los investigadores de seguridad cibernética Silent Push publicaran su informe en octubre de 2022. Para hacerlo, desplegaron EINSTEIN, un sistema de detección de intrusos (IDS) en todo el poder ejecutivo civil federal (FCEB) operado y monitoreado por CISA, para analizar el estado de las redes.
Correos electrónicos falsos de la mesa de ayuda
Lo que encontraron estaba vinculado a una «campaña de phishing generalizada y motivada financieramente» a la que Silent Push se había referido anteriormente.
Los ladrones comienzan enviando correos electrónicos falsos de phishing de la mesa de ayuda a direcciones de correo electrónico que pertenecen a personas que trabajan para varias instituciones gubernamentales.
“Las organizaciones autoras evalúan que desde al menos junio de 2022, los ciberdelincuentes han enviado correos electrónicos de phishing con el tema de la mesa de ayuda a las direcciones de correo electrónico personales y gubernamentales del personal federal de FCEB”, dice en la alerta. «Los correos electrónicos contienen un enlace a un dominio malicioso de ‘primera etapa’ o solicitan a los destinatarios que llamen a los ciberdelincuentes, quienes luego intentan convencer a los destinatarios de que visiten el dominio malicioso de primera etapa».
El objetivo de la campaña es que las víctimas descarguen RMM, en un intento de reembolsar el dinero pagado accidentalmente por el software (las víctimas nunca pagaron nada, pero eso es parte del esquema de fraude). Una vez que descargan y ejecutan el software, los delincuentes intentarán que inicien sesión en sus cuentas bancarias. Si eso sucede, encuentran una manera de robar el dinero.
«Aunque esta actividad específica parece tener una motivación financiera y está dirigida a individuos, el acceso podría conducir a una actividad maliciosa adicional contra la organización del destinatario, tanto de otros ciberdelincuentes como de actores APT», afirmaron además las organizaciones.
«Los actores cibernéticos maliciosos podrían aprovechar estas mismas técnicas para apuntar a las redes de los Sistemas de Seguridad Nacional (NSS), el Departamento de Defensa (DoD) y la Base Industrial de Defensa (DIB) y usar software RMM legítimo en dispositivos y cuentas tanto del trabajo como del hogar».
Vía: BleepingComputer (se abre en una pestaña nueva)