Redazione RHC : 1 septiembre 2025 17:23
Sophos ha advertido sobre una práctica cada vez más sofisticada por parte de los atacantes: el uso de herramientas legítimas de ciberseguridad como parte de una táctica de «Living-off-the-Land» (LotL), en la que el ataque se lleva a cabo utilizando software existente o disponible públicamente en lugar de malware desarrollado internamente.
En un incidente reciente, atacantes desconocidos introdujeron Velociraptor, una herramienta de código abierto para la monitorización de endpoints y análisis forense digital, en la infraestructura de la víctima. La herramienta se instaló mediante msiexec, descargando el instalador MSI desde un dominio en la plataforma Cloudflare Workers.
Es bien sabido que los actores de amenazas suelen utilizar técnicas de «viviendo de la tierra» (LotL) o explotar herramientas legítimas de monitorización y gestión remota (RMM) para sus ataques. Sin embargo, el uso de Velociraptor revela un claro cambio estratégico, donde se utiliza software de respuesta a incidentes para obtener ventaja y, al mismo tiempo, reducir la necesidad de implementar malware específico.
La nueva investigación del incidente ha revelado que los atacantes explotaron la función msiexec de Windows para recuperar un paquete de instalación MSI de un dominio de Cloudflare Workers. Este paquete de instalación MSI es la base de otras herramientas utilizadas por los atacantes, incluyendo una aplicación de tunelización de Cloudflare y un software de administración remota conocido como Radmin.
El archivo MSI está diseñado para instalar Velociraptor, que a su vez establece contacto con otro dominio de Cloudflare Workers. El acceso se explota para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando de PowerShell codificado y ejecutar el editor de código fuente con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Técnicas similares que involucran herramientas de acceso remoto se han vinculado a grupos de ransomware como Black Basta desde mediados de 2024. Estas campañas más recientes omiten la fase preliminar de bombardeo de correo electrónico y, en última instancia, aprovechan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución remota de código.
Estos ataques comienzan cuando los actores de amenazas utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a sus objetivos, haciéndose pasar por equipos de soporte técnico de TI u otros contactos de confianza. Para instalar software de acceso remoto como AnyDesk, DWAgent o Quick Assist, toman el control de los sistemas de las víctimas y propagan malware.
También se pueden solicitar credenciales de Windows mediante estos ataques, instando a los usuarios a introducir sus contraseñas en una solicitud de configuración del sistema aparentemente inocua. Estas credenciales se recopilan y almacenan en un archivo de texto en el sistema.
RedazioneMuchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
