Esta herramienta de monitoreo remoto de uso frecuente se emplea para instalar AsyncRAT y robar contraseñas.
Se está distribuyendo una versión infectada de ScreenConnect a través de ataques de phishing.
Investigadores han advertido sobre la propagación de correos electrónicos de phishing que contienen una versión adulterada de ScreenConnect, un software legítimo de acceso remoto. Esta variante maliciosa se presentan como documentos financieros y otros tipos de archivos empresariales.
ScreenConnect, desarrollado por ConnectWise, permite a los equipos de TI, centros de ayuda y proveedores de servicios administrados realizar soporte remoto, reuniones y accesos no atendidos. Aunque su funcionalidad es ampliamente valorada, también ha sido objeto de abuso en ataques de suplantación de identidad y robo de datos.
Los usuarios que caen en la trampa de estos correos electrónicos terminan instalando el software adulterado, lo que permite a los cibercriminales obtener acceso sin restricciones a sus dispositivos. Posteriormente, estos pueden desplegar un malware conocido como AsyncRAT, un troyano sin archivos que registra pulsaciones de teclas, roba credenciales de navegador, identifica sistemas y busca datos de billeteras de criptomonedas, especialmente a través de extensiones del navegador.
Según los expertos de LevelBlue, "el malware sin archivos sigue siendo un reto significativo para las defensas de ciberseguridad actuales debido a su naturaleza sigilosa y su dependencia de herramientas legítimas del sistema para su ejecución". A diferencia del malware tradicional que se almacena en el disco, estas amenazas operan en memoria, lo que dificulta su detección y eliminación.
AsyncRAT es un troyano de código abierto que se lanzó por primera vez en enero de 2019, y su accesibilidad lo ha convertido en una herramienta popular entre un amplio espectro de actores maliciosos, desde cibercriminales inexpertos hasta grupos más organizados. Este tipo de malware suele distribuirse a través de correos electrónicos de phishing o anexos maliciosos y ha sido observado en cadenas de infección de múltiples etapas, incluyendo campañas dirigidas a organizaciones del sector salud. Aunque no está vinculado a un grupo específico, ha sido ampliamente adoptado por diferentes cibercriminales para la explotación remota.
