Explotación de la Función de Control Remoto de Zoom por Ciberatacantes
Un grupo de amenazas conocido como ELUSIVE COMET ha sido identificado utilizando la función legítima de control remoto de Zoom para llevar a cabo ataques sofisticados. Esta técnica demuestra cómo los atacantes pueden aprovechar herramientas empresariales comunes para evadir detecciones y comprometer sistemas.
Mecanismo del Ataque
El ataque se basa en explotar la función “Solicitar control remoto” de Zoom, diseñada para colaboración técnica. Los actores maliciosos engañan a los usuarios para que acepten compartir el control de sus dispositivos, permitiéndoles ejecutar comandos maliciosos directamente en los sistemas víctimas. El proceso típico incluye:
- Iniciar una reunión Zoom legítima con la víctima.
- Persuadir al usuario para que active el control remoto mediante ingeniería social.
- Ejecutar scripts o comandos PowerShell para desplegar malware.
- Moverse lateralmente dentro de la red comprometida.
Técnicas de Evasión
ELUSIVE COMET emplea varias técnicas avanzadas para evitar la detección:
- Uso de tráfico cifrado de Zoom para ocultar actividades maliciosas.
- Ejecución de comandos a través de procesos legítimos del sistema.
- Modificación mínima del registro para persistencia sin activar alertas.
- Utilización de dominios similares a Zoom (typosquatting) para phishing inicial.
Implicaciones de Seguridad
Este caso subraya importantes desafíos en seguridad:
- Las herramientas de colaboración, aunque esenciales, pueden convertirse en vectores de ataque.
- Los controles tradicionales de seguridad pueden no detectar este tipo de abuso de funcionalidades legítimas.
- La ingeniería social sigue siendo un componente crítico en ataques avanzados.
Recomendaciones de Mitigación
Para protegerse contra este tipo de amenazas, las organizaciones deberían implementar:
- Políticas estrictas sobre el uso de control remoto en plataformas de colaboración.
- Capacitación regular a empleados sobre riesgos de ingeniería social.
- Monitorización de comportamientos anómalos en sesiones de control remoto.
- Segmentación de red para limitar movimiento lateral.
- Implementación de soluciones EDR (Endpoint Detection and Response) para detectar actividades sospechosas.
Este incidente destaca la necesidad de enfoques de seguridad que vayan más allá de la protección perimetral tradicional, incorporando monitoreo de comportamiento y análisis de amenazas internas. Las organizaciones deben equilibrar cuidadosamente la funcionalidad colaborativa con los controles de seguridad adecuados.
