Los piratas informáticos rusos están apuntando a instituciones financieras en Europa y Estados Unidos con un señuelo de juego lleno de nostalgia.
Dos agencias de seguridad en Ucrania, CSIRT-NBU y CERT-UA, advirtieron sobre una nueva campaña de phishing por parte de un actor de amenazas al que están rastreando como “UAC-0188”. Este grupo también se conoce como “FRwL”, que probablemente sea una abreviatura de “From Russia with Love”, una película de James Bond de 1963.
El grupo envía correos electrónicos de phishing desde “soporte@paciente-docs-mail.com“, haciéndose pasar por un centro médico. Los correos electrónicos vienen con el asunto “Archivo web personal de documentos médicos” y llevan un archivo adjunto de 33 MB, que es un archivo SCR alojado en Dropbox que contiene código de la versión Python del popular juego Buscaminas para Windows. Sin embargo, el clon también descarga scripts adicionales desde una fuente remota y, después de algunos pasos adicionales, termina instalando SuperOps RMM.
Abuso de SuperOps RMM
SuperOps RMM, abreviatura de Remote Monitoring and Management, es una plataforma de software diseñada para ayudar a los proveedores de servicios gestionados (MSP) y a los profesionales de TI a gestionar y monitorear la infraestructura de TI de los clientes de forma remota. Integra varias herramientas y funciones para optimizar las operaciones de TI, mejorar la seguridad y mejorar la eficiencia.
La herramienta es legítima, pero a menudo se abusa de ella, similar a lo que ocurrió con Cobalt Strike. SuperOps RMM brinda a los atacantes acceso remoto a los sistemas comprometidos, que luego pueden utilizar para implementar amenazas más peligrosas. malware O ladrones de información, que se apoderan de credenciales de inicio de sesión, datos confidenciales, información bancaria y más.
Los administradores de TI deben monitorear la actividad de su red para detectar la presencia de SuperOps RMM, y si normalmente no usan el software (o saben que no deben instalarlo), deben tratar la actividad como evidencia de compromiso.
No hubo información sobre los objetivos habituales ni sobre el número de organizaciones en las que el grupo pudo infiltrarse.
a través de pitidocomputadora