Malware Disfrazado como Archivos de Video Usando Herramientas RMM (Syncro, SuperOps, NinjaOne, etc)
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores malintencionados están utilizando señuelos maliciosos en PDF para canalizar a los usuarios hacia páginas falsas de Google Drive que anuncian descargas de “video”. En lugar de archivos multimedia, los sitios entregan instaladores RMM firmados, incluyendo herramientas como Syncro, ScreenConnect, NinjaOne y SuperOps, que proporcionan a los atacantes acceso remoto y persistencia confiables en los terminales comprometidos.
Investigación
AhnLab observó actividad de phishing basada en PDF utilizando nombres de archivos como Invoice_Details.PDF y redirigiendo a las víctimas a dominios como adobe-download-pdf.com o a un portal similar a drivegoogle.com. Los instaladores RMM entregados estaban firmados con un certificado reutilizado e incluían parámetros de instalación (por ejemplo, una clave y un ID de cliente) coherentes con implementaciones automatizadas o en etapas. Los instaladores se produjeron utilizando marcos de empaquetado comunes como Advanced Installer o NSIS y, en algunos casos, actuaron como un bootstrapper para recuperar cargas útiles adicionales después de la ejecución.
Mitigación
Limite o bloquee la ejecución de herramientas RMM no autorizadas, incluidos los binarios que no están firmados o que están firmados inesperadamente, y aplique controles más estrictos para la instalación de software de acceso remoto. Aplique una inspección estricta de archivos adjuntos de correo electrónico para detectar señuelos en PDF y comportamientos de redirección sospechosos, y bloquee dominios maliciosos conocidos en las capas de puerta de enlace y proxy. Verifique los certificados de firma de código y los detalles del editor antes de permitir la instalación, mantenga actualizados los productos RMM aprobados y restrinja su uso a administradores explícitamente autorizados.
Respuesta
Alerta cuando los instaladores RMM se ejecuten desde fuentes no confiables y cuando los terminales accedan a los nombres de archivo, URL o patrones de redirección identificados. Aísle los hosts afectados, recopile artefactos del instalador y telemetría de ejecución, y realice un análisis forense para identificar cualquier carga útil secundaria descargada después de la instalación. Elimine el agente RMM no autorizado, restablezca credenciales potencialmente expuestas y expanda la búsqueda de intentos de implementación de RMM relacionados en todo el entorno.
Flujo de ataque
Detecciones
Posible intento de instalación de software RMM usando MsiInstaller (a través de registros de aplicaciones)
Ver
Software de acceso remoto/gestión alternativo (a través del sistema)
Ver
Software de acceso remoto/gestión alternativo (a través de auditoría)
Ver
Software de acceso remoto/gestión alternativo (a través de creación de procesos)
Ver
Posible actividad de mando y control mediante intento de comunicación de dominio de software de acceso remoto (vía dns)
Ver
IOCs (HashMd5) para detectar: Malware disfrazado como archivos de video usando herramientas RMM (Syncro, SuperOps, NinjaOne, etc.)
Ver
Uso malicioso de herramientas RMM a través de phishing por PDF [Creación de procesos en Windows]
Ver
Ejecución de simulación
Prerequisito: La revisión previa de telemetría y línea de base debe haberse superado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa y comandos de ataque:
-
Entrega de phishing: El adversario envía un correo electrónico de spear-phishing con un PDF malicioso titulado “Invoice #12345.pdf”. El PDF contiene una carga útil de JavaScript malicioso que, al abrirse, deposita
Syncro.exeen%TEMP%. -
Ejecución: La carga útil ejecuta un comando PowerShell para omitir la política de ejecución y lanzar el binario:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Telemetría resultante: Windows registra un Evento ID 4688 con
Image = C:Users<user>AppDataLocalTempSyncro.exe, coincidiendo con la regla SigmaImage|endswith: 'Syncro.exe'. Se genera una alerta con Alta severidad.
-
-
Script de prueba de regresión: El siguiente script reproduce el comportamiento exacto en un ambiente de laboratorio controlado. Copia un binario RMM conocido (con fines de prueba) en el directorio temporal y lo ejecuta con una bandera benigna, asegurando que se emita el mismo evento de creación de proceso.
# ------------------------------------------------- # Script de simulación – Activar regla de proceso RMM-Tool # ------------------------------------------------- # Prerrequisitos: # - Una copia de Syncro.exe colocada en C:Tools (binario legítimo para pruebas) # - Derechos administrativos para escribir en %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Copiando binario RMM a ubicación temporal..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Ejecutando el binario para generar telemetría de creación de procesos..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Ejecución completa. Verificar detección en SIEM." # ------------------------------------------------- -
Comandos de limpieza: Elimine el binario de prueba y termine cualquier proceso persistente.
# Terminar cualquier proceso de Syncro remanente Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Eliminar la copia temporal Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpieza completada."