Expertos en ciberseguridad han identificado una sofisticada campaña de ingeniería social en curso, dirigida a empresas mediante una táctica de correo electrónico no deseado, con el objetivo de infiltrarse en sus sistemas para su posterior explotación.
Según declaraciones de los investigadores de Rapid7, Tyler McGraw, Thomas Elkins y Evan McCann, "El incidente implica a un actor de amenaza que satura los buzones de correo electrónico de los usuarios con mensajes no deseados y luego los contacta telefónicamente, ofreciendo ayuda".
Esta táctica manipuladora persuade a los usuarios afectados para que descarguen software de monitoreo y gestión remota, como AnyDesk, o utilicen la función Quick Assist de Microsoft, bajo la falsa premisa de resolver problemas de correo electrónico.
La campaña, que se cree que comenzó a fines de abril de 2024, se caracteriza por correos electrónicos que aparentan ser confirmaciones de suscripción a boletines de organizaciones legítimas, con el propósito de evadir las defensas de seguridad de correo electrónico.
Una vez establecido el contacto telefónico, los atacantes se hacen pasar por el equipo informático de la empresa para convencer a los usuarios de que instalen software de escritorio remoto, supuestamente para solucionar los problemas mencionados.
El acceso remoto obtenido se utiliza para descargar cargas adicionales diseñadas para recopilar credenciales y mantener la presencia en los sistemas afectados. Para este fin, se ejecutan varios scripts, incluido uno que establece conexión con un servidor de comando y control (C2) para obtener una copia legítima de OpenSSH para Windows y, en última instancia, lanzar un shell inverso al servidor.
Comments