El riesgo detrás de las herramientas (legítimas) de gestión remota

La mejora de los sistemas de ciberseguridad, cada vez con mayores capacidades de detección, está provocando que los ciberdelincuentes exploren modos menos obvios de acceder a los sistemas de sus víctimas. Una técnica cada vez más habitual es la llamada Living-Off-The-Land (LOTL), en la que se utiliza software legítimo ya presente en los sistemas para evitar la detección.

Proofpoint ha detectado en diferentes campañas una variante de LOTL. La ciberamenaza se ha dado tanto a través de anuncios en Linkedin como en correos electrónicos. En ambos casos, se hacía llegar a la víctima una falsa oferta de trabajo, con un enlace a Teams o Zoom para que se conectaran a una supuesta entrevista. En lugar de la aplicación de videollamada, los atacantes utilizan una herramienta de gestión remota (RMM).

Este tipo de herramientas son desconocidas para el común de los mortales, pero los administradores de TI las utilizan para gestionar de forma remota los ordenadores que tienen a su cargo. Proofpoint pone como ejemplos SimpleHelp, ScreenConnect o Atera. Todos ellos legítimos, pero con capacidades similares a los troyanos de acceso remoto (RAT).

Como herramientas legítimas, es más difícil que los sistemas de protección detecten su mal uso. Desde la compañía explican que “las herramientas RMM o de software de acceso remoto (RAS) se han vuelto muy populares como carga de primera fase. En lugar de distribuir RAT o ladrones de información, los ciberdelincuentes emplean estas tecnologías, que se mezclan con el tráfico legítimo”.