VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utiliza SimpleHelp y ScreenConnect Empaquetados con JWrapper para Acceso Remoto Silencioso
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una campaña de phishing ha estado utilizando un sitio web mexicano comprometido para distribuir un ejecutable empaquetado con JWrapper que instala las herramientas legítimas de gestión remota SimpleHelp y ScreenConnect. Aunque ambos binarios están firmados y normalmente son de confianza, los atacantes los abusan para obtener acceso remoto persistente y silencioso a través de servicios de Windows y modificaciones en el registro del Modo Seguro. Desde abril de 2025, la actividad ha impactado a más de 80 organizaciones en los Estados Unidos, Europa Occidental y América Latina. Aunque la atribución sigue siendo incierta, la campaña parece estar motivada financieramente.
Investigación
Securonix realizó un análisis dinámico del payload entregado y descubrió una configuración de acceso remoto de doble canal construida alrededor de SimpleHelp 5.0.1 y ConnectWise ScreenConnect. El malware se instala como un servicio de Windows, crea una entrada en el registro SafeBoot para sobrevivir a reinicios en Modo Seguro, y usa bucles de sondeo repetidos para identificar productos de seguridad instalados y determinar si hay un usuario presente en la máquina. Los investigadores también encontraron que un archivo renombrado wmic.exe.bak , se utilizó como parte de la cadena de ejecución para ayudar a eludir detecciones basadas en nombres.
Mitigación
Los equipos de seguridad deben monitorear la creación del Servicio de Acceso Remoto servicio de Windows, la entrada del registro SafeBoot asociada y la aparición de wmic.exe.bak dentro del directorio System32wbem . Las defensas de red deben bloquear el tráfico UDP saliente hacia 84.200.205.233:5555 y el tráfico TCP hacia sslzeromail.run.place:8041. Los defensores también deben eliminar el servicio malicioso y los archivos relacionados mientras buscan utilidades renombradas y otros artefactos vinculados a la intrusión.
Respuesta
Si se detecta esta actividad, aísle inmediatamente el sistema afectado, detenga y elimine el servicio malicioso, elimine la entrada del registro SafeBoot y elimine el directorio de instalación de JWrapper del host. Los investigadores deben luego realizar un análisis forense para determinar si ocurrió el movimiento lateral y actualizar la lógica de detección para capturar las cadenas de procesos y patrones de comando específicos vistos en la campaña. Los interesados relevantes deben ser informados, y se debe considerar una caza de amenazas más amplia para identificar víctimas adicionales.
Flujo de Ataque
Detecciones
Ejecutado Agente SimpleHelp desde JWrapper Directorio de Acceso Remoto (vía creación_de_proceso)
Ver
Posible Enumeración de Software Antivirus o de Firewall (vía creación_de_proceso)
Ver
Software Alternativo de Acceso/ Gestión Remota (vía creación_de_proceso)
Ver
Intento de Uso Posible de Simple Help RMM (vía evento_de_archivo)
Ver
IOCs (HashSha512) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso
Ver
IOCs (HashSha256) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso
Ver
IOCs (HashMd5) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso
Ver
IOCs (SourceIP) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso
Ver
IOCs (DestinationIP) para detectar: VENOMOUS#HELPER: Campaña de Phishing Dual-RMM Utilizando JWrapper-Packed SimpleHelp y ScreenConnect para Acceso Remoto Silencioso
Ver
Monitoreo de Actividad POTENCIAL de RAT por Renombrado wmic.exe y Comandos de Interfaz WiFi [Windows Sysmon]
Ver
Detección de Campaña de Phishing Dual-RMM Usando SimpleHelp y ScreenConnect [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Requisito previo: El chequeo preliminar de Telemetría & Línea de Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque & Comandos:
El atacante recibe un adjunto de phishing (T1566.001) que deja caer un payload malicioso llamado
statement5648.exeen el%TEMP%directorio. Para evadir detección, el archivo está firmado con un certificado válido (código ofuscado – T1027) y se ejecuta como un servicio de Windows (T1543.003) para persistir. Debido a que el nombre del ejecutable coincide con uno de los sufijos de la regla, Sysmon registra un EventID 1 conImagenterminando enstatement5648.exe, lo que debería activar la regla de detección. El atacante también desactiva antivirus (T1562.009) e intenta una evasión de UAC (T1548.002) para obtener privilegios elevados. -
Script de Prueba de Regresión:
#------------------------------------------------------------ # Simulación de Campaña de Phishing Dual‑RMM – activa regla Sigma #------------------------------------------------------------ $payloadPath = "$env:TEMPstatement5648.exe" $serviceName = "DualRMMHelper" # 1. Dejar caer un ejecutable falso (copia de notepad.exe) y renombrarlo Write-Host "[*] Colocando payload disfrazado en $payloadPath" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force # 2. Crear un servicio de Windows que ejecute el payload (persistencia) Write-Host "[*] Instalando servicio $serviceName" sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null # 3. Iniciar el servicio – esto genera un evento de creación de proceso Sysmon Write-Host "[*] Iniciando servicio $serviceName" sc.exe start $serviceName > $null # 4. OPCIONAL: Simular elusión de UAC / suplantación de token (sin operación de marcador de posición) # En una ejecución de equipo rojo real, esto implicaría Invoke-BypassUAC o similar. Write-Host "[*] Simulación completa – revise SIEM para la detección." #------------------------------------------------------------ -
Comandos de Limpieza:
#------------------------------------------------------------ # Limpieza para simulación de Dual‑RMM #------------------------------------------------------------ $serviceName = "DualRMMHelper" $payloadPath = "$env:TEMPstatement5648.exe" # Detener y eliminar el servicio sc.exe stop $serviceName > $null sc.exe delete $serviceName > $null # Eliminar el ejecutable falso Remove-Item -Path $payloadPath -Force Write-Host "[*] Limpieza completa." #------------------------------------------------------------