Los actores de amenazas abusan del programa de instalación de SCRIPENDECT de Connectwise para crear malware remoto firmado modificando la configuración oculta en la firma Authenticode del cliente.
ConnectWise Screenconnect es un software de monitoreo y administración remoto (RMM) que permite a los administradores de TI y a los proveedores de servicios administrados (MSP) solucionar de forma remota los dispositivos.
Cuando se crea un programa de instalación de ScreenConnect, se puede personalizar para incluir el servidor remoto al que el cliente debe conectarse, qué texto se muestra en el cuadro de diálogo y los logotipos que deben mostrarse. Estos datos de configuración se guardan en la firma Authenticode del archivo.
Esta técnica, llamada Authenticode Farming, permite la inserción de datos en una tabla de certificados mientras mantiene intacta la firma digital.
Screenconnect ha maltratado el acceso inicial
Compañía de ciberseguridad G Datos observados Connectwise Binary malicioso con valores de hash idénticos en todas las secciones de archivo con la excepción de la tabla de certificados.
La única diferencia era una tabla de certificado modificada que contenía nueva información de configuración maliciosa al tiempo que permitía que el archivo permaneciera firmado.
Los datos G indican que las primeras muestras se encontraron en los foros de BleepingCompute, donde los miembros dijeron que estaban infectados después de caer en ataques de phishing. Se han informado ataques similares en Reddit.
Estos ataques de phishing han utilizado PDF o páginas de lienzo intermedias vinculadas a ejecutables alojados en los servidores CloudFlare R2 (R2.dev).
Fuente: BleepingCompute
El archivo, llamado “Solicitud de propuesta.exe”, visto por BleepingCompute, es una captura de pantalla de cliente maliciosa [VirusTotal] Configurado para conectarse a los servidores del atacante a 86.38.225[.]6: 8041 (Relay.Rachael-end-avan.co[.]Reino Unido)
Los datos G han creado una herramienta para extraer y examinar los parámetros que se encuentran en estas campañas, donde los investigadores han encontrado modificaciones significativas, como la modificación del título del programa de instalación en “Windows Update” y el reemplazo de los antecedentes con una falsa imagen de actualización de Windows a continuación.
Fuente: G Data
Esencialmente, los actores de amenaza convirtieron al cliente legítimo ConnectWiseConnect en software malicioso que les permite acceder a dispositivos infectados sigilosamente.
Después de contactar la G, los datos de Connectwise revocaron el certificado utilizado en estos binarios, y los datos G ahora indican estas muestras bajo el nombre de Win32.backdoor.evilconwi. * Y win32.riskware.silentconwi. *.
G Datos indican que nunca han recibido una respuesta conectada a esta campaña y su informe.
Otra campaña también es el software corporativo, esta vez, distribuyendo versiones troyanizadas del cliente VPN SonicWall Netextender para robar nombres de usuarios, contraseñas e información de dominio.
Según una opinión de SonicWall, estas versiones modificadas envían información de identificación capturada a un servidor controlado por el atacante, lo que hace que los usuarios sean esenciales para obtener solo clientes de software de sitios oficiales.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.