SOC Prime Bias: Crítico

13 Ene 2026 17:22
newspaper icon ASEC

Malware Disfrazado como Archivos de Video Usando Herramientas RMM (Syncro, SuperOps, NinjaOne, etc)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Malware Disfrazado como Archivos de Video Usando Herramientas RMM (Syncro, SuperOps, NinjaOne, etc)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Los actores malintencionados están utilizando señuelos maliciosos en PDF para canalizar a los usuarios hacia páginas falsas de Google Drive que anuncian descargas de “video”. En lugar de archivos multimedia, los sitios entregan instaladores RMM firmados, incluyendo herramientas como Syncro, ScreenConnect, NinjaOne y SuperOps, que proporcionan a los atacantes acceso remoto y persistencia confiables en los terminales comprometidos.

Investigación

AhnLab observó actividad de phishing basada en PDF utilizando nombres de archivos como Invoice_Details.PDF y redirigiendo a las víctimas a dominios como adobe-download-pdf.com o a un portal similar a drivegoogle.com. Los instaladores RMM entregados estaban firmados con un certificado reutilizado e incluían parámetros de instalación (por ejemplo, una clave y un ID de cliente) coherentes con implementaciones automatizadas o en etapas. Los instaladores se produjeron utilizando marcos de empaquetado comunes como Advanced Installer o NSIS y, en algunos casos, actuaron como un bootstrapper para recuperar cargas útiles adicionales después de la ejecución.

Mitigación

Limite o bloquee la ejecución de herramientas RMM no autorizadas, incluidos los binarios que no están firmados o que están firmados inesperadamente, y aplique controles más estrictos para la instalación de software de acceso remoto. Aplique una inspección estricta de archivos adjuntos de correo electrónico para detectar señuelos en PDF y comportamientos de redirección sospechosos, y bloquee dominios maliciosos conocidos en las capas de puerta de enlace y proxy. Verifique los certificados de firma de código y los detalles del editor antes de permitir la instalación, mantenga actualizados los productos RMM aprobados y restrinja su uso a administradores explícitamente autorizados.

Respuesta

Alerta cuando los instaladores RMM se ejecuten desde fuentes no confiables y cuando los terminales accedan a los nombres de archivo, URL o patrones de redirección identificados. Aísle los hosts afectados, recopile artefactos del instalador y telemetría de ejecución, y realice un análisis forense para identificar cualquier carga útil secundaria descargada después de la instalación. Elimine el agente RMM no autorizado, restablezca credenciales potencialmente expuestas y expanda la búsqueda de intentos de implementación de RMM relacionados en todo el entorno.

«graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffdd99 classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#dddddd %% Node definitions attack_phishing[«<b>Acción</b> – <b>T1566.001 Adjunto de Spearphishing</b><br/>La víctima recibe un correo electrónico con un archivo adjunto en PDF malicioso»] class attack_phishing action file_pdf[«<b>Archivo</b> – <b>T1204.002 Ejecución de Usuario</b><br/>PDF malicioso abierto por la víctima»] class file_pdf file page_masquerade[«<b>Acción</b> – <b>T1036.008 Suplantación de Identidad</b><br/>PDF redirige a una página falsa de Google Drive»] class page_masquerade action installer_signed[«<b>Archivo</b> – <b>T1553.002 Subvertir Controles de Confianza</b><br/>Instalador firmado con un certificado que parece legítimo»] class installer_signed file exe_masquerade[«<b>Archivo</b> – <b>T1036.001 Suplantación de Identidad</b><br/>Instalador se hace pasar por un ejecutable válido»] class exe_masquerade file nsis_payload[«<b>Malware</b> – <b>T1027.009 Cargas Útiles Embebidas</b><br/>El paquete NSIS integra componentes maliciosos adicionales»] class nsis_payload malware rmm_tool[«<b>Herramienta</b> – <b>T1219 Software de Acceso Remoto</b><br/>Syncro / NinjaOne / SuperOps / ScreenConnect instalados»] class rmm_tool tool remote_desktop[«<b>Proceso</b> – <b>T1219.002 Escritorio Remoto</b><br/>Proporciona capacidades de escritorio remoto al atacante»] class remote_desktop process %% Connections showing attack flow attack_phishing u002du002d>|entrega| file_pdf file_pdf u002du002d>|abre_y_activar| page_masquerade page_masquerade u002du002d>|ofrece_descarga_de| installer_signed installer_signed u002du002d>|se_hace_pasar_por| exe_masquerade exe_masquerade u002du002d>|contiene| nsis_payload nsis_payload u002du002d>|instala| rmm_tool rmm_tool u002du002d>|habilita| remote_desktop «

Flujo de ataque

Ejecución de simulación

Prerequisito: La revisión previa de telemetría y línea de base debe haberse superado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa y comandos de ataque:

    1. Entrega de phishing: El adversario envía un correo electrónico de spear-phishing con un PDF malicioso titulado “Invoice #12345.pdf”. El PDF contiene una carga útil de JavaScript malicioso que, al abrirse, deposita Syncro.exe en %TEMP%.

    2. Ejecución: La carga útil ejecuta un comando PowerShell para omitir la política de ejecución y lanzar el binario:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"

    3. Telemetría resultante: Windows registra un Evento ID 4688 con Image = C:Users<user>AppDataLocalTempSyncro.exe, coincidiendo con la regla Sigma Image|endswith: 'Syncro.exe'. Se genera una alerta con Alta severidad.

  • Script de prueba de regresión: El siguiente script reproduce el comportamiento exacto en un ambiente de laboratorio controlado. Copia un binario RMM conocido (con fines de prueba) en el directorio temporal y lo ejecuta con una bandera benigna, asegurando que se emita el mismo evento de creación de proceso.

    # -------------------------------------------------
# Script de simulación – Activar regla de proceso RMM-Tool
# -------------------------------------------------
# Prerrequisitos:
#   - Una copia de Syncro.exe colocada en C:Tools (binario legítimo para pruebas)
#   - Derechos administrativos para escribir en %TEMP%
# -------------------------------------------------

$src  = "C:ToolsSyncro.exe"
$dest = "$env:TEMPSyncro.exe"

Write-Host "[*] Copiando binario RMM a ubicación temporal..."
Copy-Item -Path $src -Destination $dest -Force

Write-Host "[*] Ejecutando el binario para generar telemetría de creación de procesos..."
Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden

Write-Host "[+] Ejecución completa. Verificar detección en SIEM."
# -------------------------------------------------

  • Comandos de limpieza: Elimine el binario de prueba y termine cualquier proceso persistente.

    # Terminar cualquier proceso de Syncro remanente
Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar la copia temporal
Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue

Write-Host "[*] Limpieza completada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis