Una campaña de phishing ha comprometido a más de 80 organizaciones, utilizando herramientas legítimas de acceso remoto como SimpleHelp y ScreenConnect. Los atacantes engañan a las víctimas para que instalen estos programas, obteniendo control total de los sistemas. Una vez dentro, roban credenciales, despliegan malware y establecen persistencia en las redes afectadas.
Cómo operan los atacantes con RMM legítimos 🛡️
Los atacantes envían correos o mensajes que simulan ser soporte técnico, incitando a la víctima a descargar SimpleHelp o ScreenConnect. Al ejecutarse, el software legítimo permite el control remoto sin levantar sospechas en los antivirus. Luego, los agresores despliegan cargas maliciosas como ladrones de credenciales, ransomware o puertas traseras, y modifican configuraciones del sistema para asegurar su acceso continuo.
El soporte técnico que nadie pidió ni necesita 🚨
Resulta que la mejor forma de colarse en una empresa no es con exploits complejos, sino pidiendo amablemente que instales un programa de control remoto. Los atacantes actúan como ese técnico que aparece sin avisar, te dice que tu PC tiene un virus y luego te roba las contraseñas. Lo peor es que el software es legal; el delito es que te lo hayan vendido como soporte oficial.