Editor Top
En un caso, la cadena de ataque culminó con un intento de implementación del ransomware Crazy. En otro, la combinación de aplicaciones se utilizó para buscar palabras clave relacionadas con criptomonedas en la computadora comprometida de la víctima.
La combinación de estas dos aplicaciones es única, dice Huntress, aunque SimpleHelp tiene un historial de abuso por parte de piratas informáticos como mecanismo de persistencia posterior a la explotación. Ofrece un agente liviano, soporte para redundancia de puerta de enlace y capacidad para operar en puertos comunes. Net Monitor for Employees, cuyo propósito es detectar a los empleados que pierden su tiempo de trabajo en actividades ilegales, se utiliza aquí como canal principal de acceso remoto. Para un actor de amenazas, ofrece conexiones inversas a través de puertos comunes, enmascaramiento de nombres de procesos y servicios, ejecución de shell incorporada y la capacidad de implementar silenciosamente a través de mecanismos de instalación estándar de Windows.
Anna Phamun analista senior de respuesta táctica de Huntress, calificó la combinación de las dos aplicaciones para ataques como «peligrosa», particularmente porque en un caso el actor de la amenaza obtuvo acceso a la infraestructura de TI de la víctima a través de la cuenta VPN comprometida de un proveedor.
