(https://i.imgur.com/JkS66d0.jpeg)
Los ataques cibernéticos están evolucionando rápidamente gracias al uso indebido de herramientas legítimas que, en condiciones normales, deberían servir para reforzar la seguridad. Investigadores de la Unidad de Contraamenazas de Sophos han revelado un incidente en el que actores maliciosos aprovecharon Velociraptor, una herramienta forense digital y de monitoreo de endpoints de código abierto, para implementar tácticas avanzadas de infiltración.
Este hallazgo evidencia una tendencia cada vez más común: los ciberdelincuentes utilizan programas legítimos con fines maliciosos, reduciendo la necesidad de desplegar malware tradicional y aumentando las dificultades de detección.
Velociraptor como arma cibernéticaSegún Sophos, en este incidente los atacantes descargaron y ejecutaron Visual Studio Code a través de Velociraptor con la aparente intención de establecer un túnel hacia un servidor de comando y control (C2). Este acceso remoto les habría permitido ejecutar código malicioso en los sistemas comprometidos y mantener persistencia sin levantar sospechas.
El análisis reveló que los atacantes explotaron la utilidad msiexec de Windows, descargando un instalador MSI desde dominios configurados en Cloudflare Workers. Este archivo desplegaba Velociraptor y posteriormente descargaba herramientas adicionales como una solución de túnel de Cloudflare y la utilidad de administración remota Radmin.
Una vez instalado, Velociraptor contactaba con un dominio malicioso para permitir descargas adicionales. A través de un comando en PowerShell, los atacantes ejecutaban Visual Studio Code con la opción de túnel habilitada, facilitando tanto el acceso remoto como la ejecución remota de código (RCE).
Sophos advirtió que estos comportamientos deben tratarse como indicadores de un ataque de ransomware en preparación, ya que proporcionan a los actores maliciosos control total sobre los endpoints comprometidos.
La evolución de las tácticas: más allá del malwareEl uso de herramientas legítimas con fines ofensivos se enmarca dentro de la estrategia conocida como Living off the Land (LotL), en la que los atacantes aprovechan software existente en los sistemas para reducir huellas digitales. La adopción de Velociraptor marca un paso adicional, ya que se trata de una herramienta utilizada normalmente en respuestas a incidentes y análisis forense digital.
Esto significa que, en manos equivocadas, un software diseñado para la defensa puede convertirse en un arma para la intrusión silenciosa y el robo de datos.
Phishing en Microsoft Teams: otra puerta de entradaLa amenaza no se limita al abuso de Velociraptor. Investigadores de Hunters y Permiso han reportado una campaña que utiliza Microsoft Teams como canal para comprometer organizaciones.
En este caso, los actores de amenazas crean inquilinos maliciosos o utilizan cuentas comprometidas para enviar mensajes directos y llamadas a empleados, haciéndose pasar por equipos de soporte técnico de TI. Bajo este disfraz, inducen a las víctimas a instalar software de acceso remoto como AnyDesk, DWAgent o Quick Assist, con lo cual obtienen control sobre el sistema de la víctima.
Lo que distingue a estas campañas es que evitan el tradicional phishing por correo electrónico, dirigiéndose directamente a un canal de comunicación corporativa confiable. Una vez que logran acceso, los atacantes descargan cargas útiles de PowerShell que permiten robar credenciales, mantener persistencia e incluso ejecutar ransomware.
Escenarios de engaño altamente efectivosLos atacantes en Teams utilizan señuelos aparentemente rutinarios, como mensajes de mantenimiento, advertencias de rendimiento o solicitudes de verificación de configuración. Estas interacciones se camuflan entre la comunicación laboral cotidiana, lo que las hace menos sospechosas y más eficaces.
Además, en algunos casos los usuarios son redirigidos a páginas de inicio de sesión falsas de Microsoft 365, configuradas mediante Active Directory Federation Services (ADFS) en inquilinos personalizados. Esto permite a los atacantes recopilar credenciales directamente, incluso con la validación de Microsoft como intermediario.
El vínculo con ransomware y malware avanzadoEstas técnicas se asemejan a las empleadas por grupos de ransomware como Black Basta, que desde mediados de 2024 han explotado herramientas de acceso remoto en sus campañas. Otros malwares conocidos como DarkGate y Matanbuchus también se han propagado usando estrategias similares.
La combinación de phishing en Teams, abuso de Velociraptor y el uso de utilidades nativas de Windows (como msiexec y PowerShell) demuestra una sofisticación creciente en la cadena de ataque.
Recomendaciones de seguridadExpertos coinciden en que estas campañas deben considerarse como una advertencia clara para las organizaciones. Entre las medidas recomendadas destacan:
- Implementar un sistema de detección y respuesta de endpoints (EDR).
- Monitorear el uso inesperado de herramientas como Velociraptor o Radmin.
- Revisar los registros de auditoría en Teams (ChatCreated, MessageSent) para identificar anomalías.
- Capacitar a los empleados en detección de phishing corporativo.
- Mantener copias de seguridad actualizadas y aisladas.
En fin, el abuso de Velociraptor y el phishing en Microsoft Teams demuestran que los atacantes están explotando la confianza en herramientas legítimas para desplegar ciberataques cada vez más avanzados. Estos incidentes no solo son un recordatorio de que la seguridad debe ser proactiva, sino que también confirman que la frontera entre software defensivo y ofensivo es cada vez más difusa.
Las organizaciones que no refuercen sus sistemas de detección, respuesta y concienciación estarán más expuestas a ransomware, robo de credenciales y ataques dirigidos que aprovechan canales internos de comunicación y programas de uso diario.
Fuente: https://thehackernews.com/