- Investigadores de seguridad de Cofense han descubierto varios correos electrónicos de phishing haciéndose pasar por la Administración de la Seguridad Social de EE.UU.
- El objetivo era difundir el troyano de acceso remoto ConnectWise
- La frecuencia de los correos electrónicos ha aumentado en los días previos a las elecciones presidenciales de EE. UU. de 2024
Los ciberdelincuentes se hacen pasar por la Administración de la Seguridad Social de EE. UU. en un intento de instalar un troyano de acceso remoto (RAT). malware En los dispositivos de las personas, advierten los expertos.
Los investigadores de ciberseguridad de Cofense observaron una campaña de phishing que se aceleraba lentamente en los días y semanas previos a las elecciones presidenciales estadounidenses de 2024.
El objetivo de la campaña era distribuir ConnectWise RAT, un uso contaminado y malicioso de software legítimo llamado ConnectWise Control (anteriormente ScreenConnect).
ConectarWise RAT
en profundidad análisisCofense dijo que ha observado múltiples variaciones de la misma campaña de phishing, donde los estafadores se hacen pasar por la Administración del Seguro Social y afirman proporcionar una declaración de beneficios actualizada. La mayoría de las veces, la declaración falsa se presenta en forma de un enlace que no coincide (un enlace que no conduce a donde dice que conducirá). A veces, los actores de amenazas pueden intentar ocultar el enlace detrás del botón “Ver manifiesto”.
La campaña probablemente comenzó a mediados de septiembre de 2024 o alrededor de esa fecha, cuando Cofense la detectó por primera vez. La segunda muestra llegó un mes después, tras lo cual la frecuencia fue aumentando gradualmente hasta mediados de noviembre.
“Si bien se vieron correos electrónicos adicionales a finales de noviembre, esta campaña alcanzó su punto máximo el 11 y 12 de noviembre, una semana después del día de las elecciones”, concluyó Covens.
ConnectWise Control es una herramienta de soporte y escritorio remoto legítima, pero en este escenario, se utiliza para obtener acceso no autorizado a las máquinas de las víctimas. Los ciberdelincuentes explotan las capacidades legítimas del software implementándolo subrepticiamente, a menudo combinándolo con malware o esquemas de phishing. Una vez instalada, una RAT permite a los actores de amenazas tomar el control de los sistemas de forma remota, robar datos confidenciales, difundir malware adicional y monitorear la actividad informática de la víctima.
El software legítimo se utiliza a menudo con fines maliciosos, ya que los servicios de eliminación de malware y seguridad de terminales a menudo no lo reconocen como una amenaza.