Redazione RHC : 1 septiembre 2025 17:23
Sophos ha advertido sobre una práctica cada vez más sofisticada por parte de los atacantes: el uso de herramientas legítimas de ciberseguridad como parte de una táctica de «Living-off-the-Land» (LotL), en la que el ataque se lleva a cabo utilizando software existente o disponible públicamente en lugar de malware desarrollado internamente.
En un incidente reciente, atacantes desconocidos introdujeron Velociraptor, una herramienta de código abierto para la monitorización de endpoints y análisis forense digital, en la infraestructura de la víctima. La herramienta se instaló mediante msiexec, descargando el instalador MSI desde un dominio en la plataforma Cloudflare Workers.
Es bien sabido que los actores de amenazas suelen utilizar técnicas de «viviendo de la tierra» (LotL) o explotar herramientas legítimas de monitorización y gestión remota (RMM) para sus ataques. Sin embargo, el uso de Velociraptor revela un claro cambio estratégico, donde se utiliza software de respuesta a incidentes para obtener ventaja y, al mismo tiempo, reducir la necesidad de implementar malware específico.
La nueva investigación del incidente ha revelado que los atacantes explotaron la función msiexec de Windows para recuperar un paquete de instalación MSI de un dominio de Cloudflare Workers. Este paquete de instalación MSI es la base de otras herramientas utilizadas por los atacantes, incluyendo una aplicación de tunelización de Cloudflare y un software de administración remota conocido como Radmin.
El archivo MSI está diseñado para instalar Velociraptor, que a su vez establece contacto con otro dominio de Cloudflare Workers. El acceso se explota para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando de PowerShell codificado y ejecutar el editor de código fuente con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Técnicas similares que involucran herramientas de acceso remoto se han vinculado a grupos de ransomware como Black Basta desde mediados de 2024. Estas campañas más recientes omiten la fase preliminar de bombardeo de correo electrónico y, en última instancia, aprovechan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución remota de código.
Estos ataques comienzan cuando los actores de amenazas utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a sus objetivos, haciéndose pasar por equipos de soporte técnico de TI u otros contactos de confianza. Para instalar software de acceso remoto como AnyDesk, DWAgent o Quick Assist, toman el control de los sistemas de las víctimas y propagan malware.
También se pueden solicitar credenciales de Windows mediante estos ataques, instando a los usuarios a introducir sus contraseñas en una solicitud de configuración del sistema aparentemente inocua. Estas credenciales se recopilan y almacenan en un archivo de texto en el sistema.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
