¿Qué tiene en común una herramienta informática y un ransomware? Pista: una biblioteca muy sospechosa
Por qué una herramienta pensada para ayudar a los usuarios se ha convertido de repente en el regalo perfecto para los hackers
Durante un monitoreo rutinario de sistemas, los especialistas de la empresa Point Wild detectaron una aplicación potencialmente no deseada relacionada con la herramienta de acceso remoto GoTo Resolve. Aunque esta herramienta está diseñada para el uso legítimo por parte de especialistas en TI, su funcionalidad puede ser utilizada con fines que supongan una amenaza para la seguridad.
El análisis mostró que el archivo ejecutable «GoToResolveUnattended.exe» pertenece al componente de acceso remoto GoTo Resolve Unattended Access, que permite conectarse a equipos sin la intervención del usuario. Además, la instalación ocurre sin notificación explícita, y al iniciarse crea hilos en segundo plano. El programa se registra de forma persistente en el sistema y se ubica en la carpeta «C:\Program Files (x86)\GoTo Resolve Unattended».
Aunque el archivo tiene una firma digital de GoTo Technologies USA, LLC, la existencia de la firma no elimina la posibilidad de abuso en caso de compromiso o uso para eludir controles. Este tipo de programas con frecuencia se convierten en herramientas de ciberdelincuentes, que pueden emplearlas para acceso remoto oculto, instalación de módulos maliciosos, publicidad u otras acciones sin el conocimiento del propietario del dispositivo.
Una de las señales preocupantes fue la carga de la biblioteca dinámica «RstrtMgr.dll», anteriormente observada en campañas con uso de ransomware y programas wiper. Tales bibliotecas permiten terminar procesos que interfieren con la actividad maliciosa, incluido el cifrado de datos. La presencia de esta biblioteca puede indicar un intento de protegerse frente al análisis o de asegurar el control sobre el sistema infectado.
En el archivo con la muestra analizada también se encontró un archivo auxiliar con instrucciones para instalar y gestionar el programa. Esto confirma adicionalmente la existencia de un mecanismo de instalación oculta y aumenta el riesgo de uso no autorizado.
El programa fue detectado por el antivirus UltraAV con la designación HEURRemoteAdmin.GoToResolve.gen, lo que confirma su peligro potencial en entornos corporativos y de usuarios. Sin un control adecuado, este software puede ampliar significativamente la superficie de ataque y convertirse en un punto de entrada para otros componentes maliciosos.
Los especialistas recomiendan que las organizaciones adopten medidas preventivas, incluyendo restringir la ejecución de aplicaciones de terceros, monitorización constante de los puntos finales y aumentar la concienciación del personal sobre los riesgos asociados a las herramientas de acceso remoto. En caso de detectar este tipo de programas sin autorización oficial, se recomienda eliminarlos de inmediato.