Los asistentes se convirtieron en traidores: ScreenConnect se ha vuelto una trampa para la seguridad empresarial.

En los últimos meses los especialistas de Acronis TRU han registrado un aumento de ataques en los que los ciberdelincuentes utilizan instaladores falsos de ConnectWise ScreenConnect para el acceso inicial a redes de empresas estadounidenses. Este enfoque se basa en una táctica cada vez más popular entre los delincuentes: el abuso de herramientas legítimas de administración remota, que permiten obtener el control total del sistema haciéndose pasar por el soporte informático habitual.

En lugar de los instaladores habituales, los atacantes han comenzado a usar instaladores ClickOnce más ligeros. A diferencia de las versiones anteriores, no incluyen una configuración integrada, sino que descargan los componentes necesarios en tiempo de ejecución. Esto dificulta considerablemente el análisis estático y priva a las soluciones de seguridad de indicadores previos.

El esquema de ataque comienza con la ejecución de un archivo ejecutable disfrazado de documento financiero o jurídico. El instalador de ScreenConnect conecta el equipo de la víctima a un servidor de control alojado en un VPS relacionado con el servicio stealthrdp.com y con dominios como morco.rovider[.]net. Los instaladores de servidor falsificados permiten generar clientes con direcciones de los atacantes, manteniendo una apariencia de legitimidad.

Tras la instalación, ScreenConnect inicia automáticamente una cadena de scripts que, en cuestión de minutos, descargan dos troyanos de acceso remoto. El primero de ellos — AsyncRAT, una herramienta conocida para administración remota que se utiliza tanto en pruebas de penetración como en operaciones criminales.

Para su ejecución se utiliza el archivo por lotes BypaasaUpdate.bat, que descarga un archivo comprimido con los componentes: el propio AsyncRAT, un bypass de AMSI y un mecanismo de persistencia en el sistema. La persistencia se logra mediante el script de PowerShell Skype.ps1, que, a través de un archivo VBS y tareas del programador, vuelve a iniciar AsyncRAT cada minuto. A pesar de lo ruidoso de este enfoque, garantiza la supervivencia en el sistema si el proceso es detenido.

Casi en paralelo se descarga la segunda herramienta: un nuevo RAT casero en PowerShell. Es capaz de recopilar información del sistema, detectar los antivirus instalados mediante WMI, enviar datos al servidor de control usando Microsoft.XMLHTTP, recibir comandos y ejecutar scripts o archivos binarios adicionales. El código emplea técnicas de ofuscación: nombres de funciones sin sentido, almacenamiento de cargas útiles como arrays de caracteres y un bypass de AMSI en forma de cadena base64. Este desarrollo no se encontró en repositorios públicos y, probablemente, fue creado por el propio operador para eludir detectores basados en firmas.

Dos semanas después de la infección inicial, los operadores modernizaron la cadena de entrega de AsyncRAT. Ahora la instalación se realiza mediante el archivo VBS MicrosoftUpdate.vbs, que descargaba dos archivos .NET cifrados. Uno de ellos, Obfuscator.dll, aseguraba la persistencia en el sistema y cargaba el segundo: el ejecutable principal de AsyncRAT. La nueva instancia usaba un mutex modificado y los puertos 4501–4503 para comunicarse con el servidor anterior 185.196.9.158.

Más tarde, los investigadores observaron la introducción de otra herramienta: PureHVNC RAT. Su descarga se realizaba mediante el script de PowerShell NvContainerRecovery.ps1, invocado desde WMI. La implantación se ejecutaba mediante Process Hollowing en RegAsm.exe, tras lo cual se iniciaba PureHVNC, que se conectaba al servidor con IP 169.156.208.185:8020. La persistencia se aseguraba mediante inicio automático a través de un envoltorio VBS.

La investigación de la infraestructura mostró el uso de varios dominios vinculados a instaladores de ScreenConnect: gaza.rovider.net, lightc.rovider.net y otros. Se alojaban en los mismos servidores de stealthrdp.com y se emplearon en operaciones con diferentes herramientas, incluidas XWorm y DCRat. Para camuflarse, los archivos maliciosos se nombraban como documentos oficiales — "Social_Security_Statement_Documents", "SSA Document Viewer" o "Business Schedule Organizer". Todo ello apunta al uso activo de phishing y de ingeniería social.

Es notable que las mismas máquinas virtuales con Windows Server 2022, con RDP habilitado y con un servidor ScreenConnect instalado, se reutilizaron en distintas campañas. Hosts con los mismos nombres WIN-BUNS25TD77J y COPY-OF-VM-2022 aparecían con distintas direcciones IP, lo que indica imágenes preparadas de antemano que pueden desplegarse rápidamente para nuevos ataques.

Estas campañas muestran que los atacantes no solo combinan distintos RAT en un mismo sistema, sino que también cambian constantemente las herramientas y la infraestructura, lo que dificulta su detección. La conclusión principal de los expertos de Acronis: las organizaciones deben supervisar detenidamente el uso de software RMM, especialmente ScreenConnect, y verificar cada despliegue para evitar que los atacantes se establezcan sin ser detectados en la red corporativa.