SOC Prime Bias: Medio

05 Ene 2026 17:56
newspaper icon Huntress

ScreenConnect Pirata: Tácticas Comunes de Ingeniería Social que Vimos en 2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
ScreenConnect Pirata: Tácticas Comunes de Ingeniería Social que Vimos en 2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Los actores de amenazas están entregando clientes ScreenConnect maliciosos (monitorización y gestión remotas) a través de cebos de ingeniería social como declaraciones falsas del Seguro Social, cartas de invitación y documentos de facturas. Los cebos se distribuyen mediante correos electrónicos de phishing y páginas web maliciosas, lo que lleva a las víctimas a descargar ejecutables ScreenConnect renombrados. Una vez instalado, el RMM falso proporciona al atacante acceso remoto persistente al host comprometido.

Investigación

Huntress observó docenas de incidentes entre enero y septiembre de 2025 donde se ejecutaron binarios de ScreenConnect renombrados en endpoints de múltiples industrias. El SOC recopiló nombres de dominio, direcciones IP y hashes de archivos asociados, señalando el uso repetido de servicios de DNS dinámico y patrones específicos de denominación de cebos. Un análisis detallado de registros mostró que el cliente malicioso contactaba dominios controlados por el atacante para comando y control.

Mitigación

Las organizaciones deben fortalecer la capacitación en concienciación de seguridad para detectar declaraciones, facturas y archivos de invitación falsos. Se recomienda realizar un monitoreo continuo de las herramientas de acceso remoto, restringir la ejecución de binarios RMM no firmados y auditar las conexiones de red a dominios maliciosos conocidos. Mantener el software RMM actualizado y en lista blanca solo las instancias autorizadas.

Respuesta

Al detectar un ejecutable de ScreenConnect renombrado, aísle el endpoint, recopile el binario y el tráfico de red asociado, y bloquee el dominio C2 en el cortafuegos. Realice un análisis forense para identificar mecanismos de persistencia y movimiento lateral, luego remedie cuentas comprometidas y restablezca credenciales.

graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Node definitions tech_initial_access_phishing[«<b>Técnica</b> – <b>T1566 Phishing</b><br/><b>Descripción</b>: Los actores de amenazas envían correos electrónicos diseñados que imitan declaraciones del Seguro Social, facturas o invitaciones con enlaces maliciosos.»] class tech_initial_access_phishing technique tech_malicious_link[«<b>Técnica</b> – <b>T1204.001 Enlace Malicioso</b><br/><b>Descripción</b>: La víctima hace clic en un enlace malicioso que redirige a una página de descarga.»] class tech_malicious_link technique tech_malicious_file[«<b>Técnica</b> – <b>T1204.002 Archivo Malicioso</b><br/><b>Descripción</b>: La víctima descarga y ejecuta un ejecutable disfrazado de documento o invitación.»] class tech_malicious_file technique op_user_execution((«Ejecución de Usuario»)) class op_user_execution operator tech_masquerading[«<b>Técnica</b> – <b>T1036 Enmascaramiento</b><br/><b>Subtécnicas</b>: T1036.008 Tipo de Archivo de Máscara, T1036.003 Renombrar Utilidades Legítimas, T1036.007 Doble Extensión de Archivo<br/><b>Descripción</b>: La carga útil se renombra para parecer legítima y evitar la detección.»] class tech_masquerading technique tech_rat_installation[«<b>Técnica</b> – <b>T1219 Instalación de Herramienta de Acceso Remoto</b><br/><b>Descripción</b>: Instalación de un cliente ScreenConnect que proporciona capacidades de monitorización y gestión remotas.»] class tech_rat_installation technique tool_screenconnect[«<b>Herramienta</b> – <b>Nombre</b>: ScreenConnect (ConnectWise Control)<br/><b>Descripción</b>: Software de acceso remoto utilizado como un RAT.»] class tool_screenconnect tool tech_dynamic_dns[«<b>Técnica</b> – <b>T1568.002 Algoritmos de Generación de Dominios</b><br/><b>Descripción</b>: Utiliza servicios de DNS dinámico y dominios generados para comunicación C2.»] class tech_dynamic_dns technique tech_app_layer_dns[«<b>Técnica</b> – <b>T1071.004 Protocolo de Capa de Aplicación: DNS</b><br/><b>Descripción</b>: Tráfico C2 transmitido a través de consultas DNS.»] class tech_app_layer_dns technique tech_app_layer_web[«<b>Técnica</b> – <b>T1071.001 Protocolo de Capa de Aplicación: Web</b><br/><b>Descripción</b>: Tráfico C2 transmitido a través de protocolos web HTTPS.»] class tech_app_layer_web technique tech_web_service_bidirectional[«<b>Técnica</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/><b>Descripción</b>: Usa servicio web para comunicación C2 bidireccional.»] class tech_web_service_bidirectional technique tech_external_remote_services[«<b>Técnica</b> – <b>T1133 Servicios Remotos Externos</b><br/><b>Descripción</b>: Mantiene persistencia vía servicios remotos externos permitiendo acceso continuo.»] class tech_external_remote_services technique tech_hide_artifacts[«<b>Técnica</b> – <b>T1564.012 Ocultar Artefactos: Exclusiones de Archivo/Ruta</b><br/><b>Descripción</b>: Configura exclusiones para ocultar archivos maliciosos de las herramientas de seguridad.»] class tech_hide_artifacts technique tech_passive_dns[«<b>Técnica</b> – <b>T1596.001 Búsqueda en Bases de Datos Técnicas Abiertas: DNS Pasivo</b><br/><b>Descripción</b>: Usa datos de DNS pasivo para descubrir o registrar dominios maliciosos.»] class tech_passive_dns technique %% Connections tech_initial_access_phishing u002du002d>|entrega| op_user_execution op_user_execution u002du002d>|usa| tech_malicious_link op_user_execution u002du002d>|usa| tech_malicious_file op_user_execution u002du002d>|lleva a| tech_masquerading tech_masquerading u002du002d>|habilita| tech_rat_installation tech_rat_installation u002du002d>|instala| tool_screenconnect tool_screenconnect u002du002d>|contacta| tech_dynamic_dns tool_screenconnect u002du002d>|usa| tech_app_layer_dns tool_screenconnect u002du002d>|usa| tech_app_layer_web tool_screenconnect u002du002d>|usa| tech_web_service_bidirectional tech_dynamic_dns u002du002d>|soporta| tech_external_remote_services tech_external_remote_services u002du002d>|habilita| tech_passive_dns tech_dynamic_dns u002du002d>|soporta| tech_hide_artifacts

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El Chequeo Pre‑vuelo de Telemetría y Línea de Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa y Comandos del Ataque:
    Un atacante elabora un correo electrónico de phishing con un adjunto llamado Social_Security_Statement_redacted.exe que en realidad contiene un instalador legítimo de ScreenConnect (o cualquier carga útil). La víctima, creyendo que es un documento de finanzas personales, hace doble clic en el archivo. El sistema operativo lanza el ejecutable, produciendo un evento de creación de proceso donde el Campo de Imagen termina con el nombre de archivo malicioso. Este patrón exacto coincide con la regla Sigma y debería generar una alerta.

  • Script de Prueba de Regresión:

    # --------------------------------------------------------------
# Script de simulación - activa la regla "ScreenConnect Falso"
# --------------------------------------------------------------

# 1. Preparar una carga útil benigna (por ejemplo, calc.exe) y renombrarla
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:TempSocial_Security_Statement_redacted.exe"

Copy-Item -Path $src -Destination $dst -Force

# 2. Opcionalmente establecer el atributo oculto para imitar evasión (T1564.004)
attrib +h $dst

# 3. Ejecutar la carga útil renombrada (simulando clic del usuario)
Start-Process -FilePath $dst

# 4. Esperar brevemente para asegurar el registro
Start-Sleep -Seconds 5

# 5. Confirmación de salida
Write-Host "Ejecutado $dst – debería generar telemetría de detección."

  • Comandos de Limpieza:

    # Eliminar el ejecutable con aspecto malicioso y limpiar atributo
$file = "$env:TempSocial_Security_Statement_redacted.exe"
if (Test-Path $file) {
    attrib -h $file
    Remove-Item -Path $file -Force
    Write-Host "Limpieza completa: $file eliminado."
} else {
    Write-Host "Archivo no encontrado; nada que limpiar."
}

Fin del Informe

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis