Una campagna di phishing ha compromesso oltre 80 organizzazioni, utilizzando strumenti legittimi di accesso remoto come SimpleHelp e ScreenConnect. Gli aggressori ingannano le vittime per far installare questi programmi, ottenendo il controllo totale dei sistemi. Una volta dentro, rubano credenziali, distribuiscono malware e stabiliscono persistenza nelle reti colpite.
Come operano gli aggressori con RMM legittimi 🛡️
Gli aggressori inviano email o messaggi che simulano di essere supporto tecnico, spingendo la vittima a scaricare SimpleHelp o ScreenConnect. Una volta eseguito, il software legittimo consente il controllo remoto senza destare sospetti negli antivirus. Poi, gli aggressori distribuiscono carichi malevoli come ladri di credenziali, ransomware o backdoor, e modificano le configurazioni di sistema per garantire il loro accesso continuo.
Il supporto tecnico che nessuno ha chiesto né di cui ha bisogno 🚨
Si scopre che il modo migliore per intrufolarsi in un'azienda non è con exploit complessi, ma chiedendo gentilmente di installare un programma di controllo remoto. Gli aggressori agiscono come quel tecnico che si presenta senza preavviso, ti dice che il tuo PC ha un virus e poi ti ruba le password. La cosa peggiore è che il software è legale; il reato è che te lo abbiano venduto come supporto ufficiale.