Nueva campaña de ciberseguridad utiliza RMM malicioso para atacar a usuarios en Brasil
Investigadores en ciberseguridad han identificado una nueva campaña dirigida a usuarios de habla portuguesa en Brasil, la cual emplea versiones de prueba de software comercial de monitoreo y gestión remota (RMM) como vector de ataque. Esta actividad maliciosa, detectada desde enero de 2025, utiliza técnicas de ingeniería social para comprometer a las víctimas.
Mecanismo de ataque
Los actores de amenazas están distribuyendo mensajes de spam que simulan ser del sistema brasileño de facturación electrónica (NF-e). Estos correos contienen hipervínculos que redirigen a contenido malicioso alojado en Dropbox. Una vez que la víctima interactúa con el enlace, se descarga e instala una versión de prueba de software RMM legítimo, pero configurado para otorgar acceso remoto no autorizado a los atacantes.
- Vector inicial: Correos electrónicos de phishing que imitan el sistema NF-e
- Técnica de entrega: Hipervínculos a contenido malicioso en Dropbox
- Payload final: Software RMM comercial configurado para acceso remoto
Implicaciones técnicas
El uso de herramientas RMM legítimas como Cobalt Strike, AnyDesk o TeamViewer en ataques representa un desafío significativo para los equipos de seguridad, ya que:
- El tráfico generado aparece como legítimo y puede evadir detección básica
- No requiere la instalación de malware tradicional, solo configuración maliciosa
- Permite movimiento lateral dentro de la red comprometida
- Facilita la exfiltración de datos sin levantar sospechas inmediatas
Recomendaciones de mitigación
Para protegerse contra este tipo de amenazas, las organizaciones deberían implementar:
- Filtros de correo avanzados con detección de suplantación de NF-e
- Políticas de restricción de ejecución para software RMM
- Monitoreo de tráfico de red para conexiones RMM no autorizadas
- Programas de concienciación sobre ingeniería social específicos para NF-e
- Segmentación de red para limitar el movimiento lateral
Contexto regional
Brasil ha experimentado un aumento constante en ataques dirigidos que aprovechan sistemas gubernamentales y fiscales como señuelo. La popularidad del sistema NF-e entre empresas brasileñas lo convierte en un objetivo frecuente para campañas de phishing. Este incidente destaca la sofisticación creciente de los grupos que operan en la región, combinando ingeniería social con herramientas legítimas para evadir detección.
Para más detalles técnicos sobre esta campaña, consulta el informe completo de Cisco Talos: Fuente original.
Conclusión
Esta campaña demuestra la evolución de las tácticas de los actores de amenazas, quienes cada vez más utilizan herramientas legítimas para fines maliciosos. Las organizaciones, especialmente aquellas que operan en Brasil o con socios brasileños, deben estar alerta ante estos vectores de ataque y reforzar sus controles de seguridad para software de acceso remoto. La combinación de controles técnicos y capacitación del usuario sigue siendo la mejor defensa contra estas amenazas híbridas.
