Velociraptor: ¿defensor o atacante? La herramienta creada para proteger ahora sirve a los hackers
Ciberdelincuentes emplean una herramienta legítima de seguridad informática para atacar a empresas.
Especialistas de Sophos alertaron sobre una práctica cada vez más sofisticada de los atacantes: el uso de herramientas legítimas de seguridad dentro de la táctica Living-off-the-Land (LotL), en la que la intrusión se realiza con software ya existente o de acceso público en lugar de malware creado por los atacantes. En un incidente reciente, actores desconocidos implantaron en la infraestructura de la víctima Velociraptor — una herramienta de código abierto para monitorizar endpoints y realizar análisis forense digital.
La instalación se llevó a cabo mediante msiexec, descargando un instalador MSI desde un dominio en la plataforma Cloudflare Workers. Luego los atacantes usaron PowerShell con un comando codificado para descargar y ejecutar VSCode en modo túnel, presumiblemente para conectarse a un servidor C2 remoto.
En la operación también se empleó un conjunto de utilidades adicionales, incluido el cliente de túneles de Cloudflare y el programa de administración remota Radmin. El uso repetido de msiexec les permitió cargar otras cargas útiles desde el catálogo workers[.]dev. Sophos subraya que esta actividad puede señalar una preparación para extorsión o el despliegue de ransomware, y pide a las empresas vigilar el uso no autorizado de Velociraptor y de otras herramientas "legítimas".
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla