Enlace CDN de Discord utilizado de forma abusiva para entregar un RAT camuflado como archivo de OneDrive
En una nueva amenaza descubierta por la empresa de ciberseguridad Sublime Security, que se observó en la plataforma de correo electrónico Microsoft 365 , los piratas informáticos están utilizando una inteligente campaña de malware para engañar a los usuarios con correos electrónicos falsos de OneDrive .
En la investigación, compartida con Hackread.com, la empresa descubrió que este sofisticado ataque instala dos programas de control remoto separados en la computadora de la víctima, lo que hace que sea muy difícil detenerlo.
El sistema de inteligencia artificial de Sublime Security detectó el ataque detectando varias pistas sutiles. Estas incluían el correo electrónico que afirmaba compartir un archivo, pero que se enviaba a una lista de destinatarios no revelada, la extensión de archivo engañosa (que decía .docx , pero en realidad era .msi ) y el uso del sitio web gratuito de alojamiento de archivos.
Los investigadores descubrieron que el ataque comienza con un correo electrónico malicioso enviado desde una cuenta previamente comprometida. El mensaje está diseñado para parecerse a una notificación de intercambio de archivos de OneDrive de Microsoft, con un pie de página de privacidad familiar y un icono de documento de Word .
El enlace del correo electrónico promete descargar un documento, pero en realidad lleva a un instalador peligroso alojado en un servicio gratuito, la CDN de Discord . Cuando un usuario hace clic en el enlace, el ataque instala un software conocido como RMM (Monitorización y Gestión Remota). Estas son herramientas legítimas que utilizan los profesionales de TI para reparar computadoras a distancia, pero los ciberdelincuentes pueden usarlas para tomar el control total de una máquina.
El software RMM funciona instalando un pequeño programa llamado agente en el equipo objetivo, que crea la conexión para el acceso remoto. Una vez instalado, un RMM puede usarse para robar datos, bloquear el equipo para pedir un rescate o lanzar otros ataques. Esta campaña es especialmente compleja porque instala Atera en un proceso visible, mientras que dos instalaciones se ejecutan en segundo plano: Splashtop Streamer y .Net Runtime 8.
Ambos se descargan de fuentes legítimas, lo que los hace parecer tráfico web inofensivo. Este enfoque dual es clave para el esquema, ya que garantiza que el atacante mantenga el control remoto incluso si se descubre un RMM, según la entrada del blog .
Esta campaña destaca la creciente amenaza de ataques multietapa que utilizan el engaño para obtener control permanente del equipo de la víctima. Para mantenerse seguro, tenga siempre cuidado con los correos electrónicos inesperados, incluso de fuentes confiables como OneDrive. Además, antes de abrir cualquier archivo descargado, verifique cuidadosamente su tipo y nombre; si el tipo de archivo parece extraño, como un archivo .msi en lugar de .docx , no lo ejecute.
HackRead
