- Investigadores de seguridad de Cofense identifican varios correos electrónicos de phishing suplantando a la Administración de la Seguridad Social de EE.UU.
- El objetivo era implementar el troyano de acceso remoto ConnectWise
- La frecuencia de los correos electrónicos aumentó en los días previos a las elecciones presidenciales de EE. UU. de 2024
Los expertos han advertido que los ciberdelincuentes se están haciendo pasar por la Administración de la Seguridad Social de EE. UU. en un intento de instalar malware troyano de acceso remoto (RAT) en los dispositivos de las personas.
Los investigadores de ciberseguridad de Cofense observaron una campaña de phishing, que se intensificó lentamente en los días y semanas previos a las elecciones presidenciales estadounidenses de 2024.
El objetivo de la campaña era difundir ConnectWise RAT, un uso infectado y malicioso de un software legítimo llamado ConnectWise Control (anteriormente ScreenConnect).
ConectarWise RAT
de una manera profunda análisisCofense dijo que había observado varias versiones de la misma campaña de phishing, en la que los estafadores falsificaban a la Administración del Seguro Social y pretendían proporcionar una declaración de beneficios actualizada. En la mayoría de los casos, la declaración falsa se presentaría en forma de un enlace no compatible (un enlace que no conduce a donde dice). A veces, los actores de amenazas intentaban ocultar el enlace detrás del botón “Ver declaración”.
La campaña probablemente comenzó a mediados de septiembre de 2024 o alrededor de esa fecha, cuando fue observada por primera vez por Cofense. La segunda muestra llegó un mes después, tras lo cual la frecuencia aumentó gradualmente hasta mediados de noviembre.
“Si bien se vieron correos electrónicos adicionales a finales de noviembre, esta campaña alcanzó su punto máximo los días 11 y 12 de noviembre, una semana después del día de las elecciones”, concluyó Cofense.
ConnectWise Control es una herramienta de soporte y escritorio remoto legítima, pero en este escenario, se utiliza para obtener acceso no autorizado a los dispositivos de las víctimas. Los ciberdelincuentes aprovechan las capacidades legítimas del software implementándolo subrepticiamente, a menudo combinándolo con malware o programas de phishing. Una vez instalado, el RAT permite a los actores de amenazas controlar sistemas de forma remota, robar datos confidenciales, implementar malware adicional y monitorear la actividad informática de la víctima.
El software legítimo se utiliza a menudo con fines maliciosos porque los servicios de eliminación de malware y seguridad de terminales a menudo no lo identifican como una amenaza.
