ScreenConnect Pirata: Tácticas Comunes de Ingeniería Social que Vimos en 2025
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están entregando clientes ScreenConnect maliciosos (monitorización y gestión remotas) a través de cebos de ingeniería social como declaraciones falsas del Seguro Social, cartas de invitación y documentos de facturas. Los cebos se distribuyen mediante correos electrónicos de phishing y páginas web maliciosas, lo que lleva a las víctimas a descargar ejecutables ScreenConnect renombrados. Una vez instalado, el RMM falso proporciona al atacante acceso remoto persistente al host comprometido.
Investigación
Huntress observó docenas de incidentes entre enero y septiembre de 2025 donde se ejecutaron binarios de ScreenConnect renombrados en endpoints de múltiples industrias. El SOC recopiló nombres de dominio, direcciones IP y hashes de archivos asociados, señalando el uso repetido de servicios de DNS dinámico y patrones específicos de denominación de cebos. Un análisis detallado de registros mostró que el cliente malicioso contactaba dominios controlados por el atacante para comando y control.
Mitigación
Las organizaciones deben fortalecer la capacitación en concienciación de seguridad para detectar declaraciones, facturas y archivos de invitación falsos. Se recomienda realizar un monitoreo continuo de las herramientas de acceso remoto, restringir la ejecución de binarios RMM no firmados y auditar las conexiones de red a dominios maliciosos conocidos. Mantener el software RMM actualizado y en lista blanca solo las instancias autorizadas.
Respuesta
Al detectar un ejecutable de ScreenConnect renombrado, aísle el endpoint, recopile el binario y el tráfico de red asociado, y bloquee el dominio C2 en el cortafuegos. Realice un análisis forense para identificar mecanismos de persistencia y movimiento lateral, luego remedie cuentas comprometidas y restablezca credenciales.
Flujo de Ataque
Detecciones
Software Alternativo de Acceso / Gestión Remota (vía sistema)
Ver
Software Alternativo de Acceso / Gestión Remota (vía auditoría)
Ver
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Software Alternativo de Acceso / Gestión Remota (vía creación de proceso)
Ver
COIs (HashSha256) para detectar: ScreenConnect Falso: Tácticas Comunes de Ingeniería Social que Vimos en 2025
Ver
Instalación de ScreenConnect Falso a través de Cebos de Ingeniería Social [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo Pre‑vuelo de Telemetría y Línea de Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos del Ataque:
Un atacante elabora un correo electrónico de phishing con un adjunto llamado Social_Security_Statement_redacted.exe que en realidad contiene un instalador legítimo de ScreenConnect (o cualquier carga útil). La víctima, creyendo que es un documento de finanzas personales, hace doble clic en el archivo. El sistema operativo lanza el ejecutable, produciendo un evento de creación de proceso donde elCampo de Imagentermina con el nombre de archivo malicioso. Este patrón exacto coincide con la regla Sigma y debería generar una alerta. -
Script de Prueba de Regresión:
# -------------------------------------------------------------- # Script de simulación - activa la regla "ScreenConnect Falso" # -------------------------------------------------------------- # 1. Preparar una carga útil benigna (por ejemplo, calc.exe) y renombrarla $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Opcionalmente establecer el atributo oculto para imitar evasión (T1564.004) attrib +h $dst # 3. Ejecutar la carga útil renombrada (simulando clic del usuario) Start-Process -FilePath $dst # 4. Esperar brevemente para asegurar el registro Start-Sleep -Seconds 5 # 5. Confirmación de salida Write-Host "Ejecutado $dst – debería generar telemetría de detección." -
Comandos de Limpieza:
# Eliminar el ejecutable con aspecto malicioso y limpiar atributo $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Limpieza completa: $file eliminado." } else { Write-Host "Archivo no encontrado; nada que limpiar." }
Fin del Informe