Security

Phishing con apps de trabajo firmadas EV instala RMM

3 min de lectura

Resumen

Microsoft detectó campañas de phishing que se hacen pasar por apps de trabajo como Teams, Zoom o Adobe para instalar herramientas de gestión remota (RMM), usando ejecutables con nombres creíbles y hasta firma digital EV para reducir la sospecha. Esto importa porque combina señuelos muy comunes en entornos corporativos con señales de confianza difíciles de distinguir, aumentando la probabilidad de acceso inicial exitoso y complicando la detección por parte de usuarios y defensores.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

Los actores de amenazas están integrándose cada vez más con las operaciones legítimas de TI al desplegar herramientas comerciales de Remote Monitoring and Management (RMM). Esta campaña eleva aún más el listón al usar marcas familiares de “apps de trabajo” y firma de código EV para reducir la sospecha del usuario y mejorar las tasas de ejecución, convirtiéndola en una vía práctica de acceso inicial en empresas donde los usuarios instalan con frecuencia software de reuniones y documentos.

Qué hay de nuevo / hallazgos clave

Microsoft Defender Experts observó múltiples campañas de phishing atribuidas a un actor de amenazas no identificado. Las características clave incluyen:

  • Señuelos de reuniones y documentos: Los correos se hicieron pasar por invitaciones a reuniones (Teams/Zoom/Google Meet), facturas, documentos financieros, licitaciones y notificaciones organizativas.
  • PDF falsificados y páginas de descarga suplantadas: Algunos mensajes entregaban PDF falsos con un botón “Open in Adobe” que redirigía a un sitio de descarga de Adobe similar al legítimo que solicitaba una “actualización”.
  • Ejecutables camuflados: Los payloads se nombraron para parecer instaladores confiables, incluidos msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe y trustconnectagent.exe.
  • Abuso de confianza mediante firma EV: Los droppers estaban firmados digitalmente con un certificado EV emitido a TrustConnect Software PTY LTD, lo que ayudó a que parecieran legítimos.
  • Despliegue de puerta trasera RMM: La ejecución condujo a la instalación de herramientas RMM como ScreenConnect, Tactical RMM y Mesh Agent, habilitando acceso remoto persistente.

Cómo la intrusión establece persistencia (aspectos técnicos destacados)

En la cadena centrada en ScreenConnect, el ejecutable de “workspace”:

  • Se copió a sí mismo en C:\Program Files para parecer una aplicación instalada legítima.
  • Se registró como un servicio de Windows para persistencia al inicio.
  • Creó un autorun adicional mediante la clave Run:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Nombre del valor: TrustConnectAgent
    • Destino: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Se conectó hacia afuera a infraestructura del atacante (en particular trustconnectsoftware[.]com).
  • Usó PowerShell codificado para descargar payloads adicionales e invocó msiexec.exe para instalar ScreenConnect desde archivos MSI preparados.

Microsoft señaló casos en los que el MSI parecía sin firma, seguido por binarios de ScreenConnect firmados con certificados revocados, un patrón comúnmente asociado con despliegues maliciosos o no autorizados.

Impacto en administradores de TI y usuarios finales

  • Los usuarios son objetivo a través de flujos de trabajo rutinarios: unirse a reuniones, revisar facturas y actualizar apps “desactualizadas”.
  • Los equipos de TI y seguridad pueden ver cómo la actividad del atacante se mezcla con herramientas normales de administración, porque los agentes RMM pueden parecer soporte remoto autorizado.
  • El riesgo aumenta tras el compromiso: la persistencia mediante servicios/autoruns más herramientas RMM puede acelerar el acceso a credenciales, el control remoto y el movimiento lateral.

Acciones recomendadas / próximos pasos

  • Endurecer las rutas de instalación de software: restringir instalaciones iniciadas por el usuario cuando sea factible; aplicar allowlisting (p. ej., WDAC/App Control) para ejecutables “tipo instalador”.
  • Auditar el uso de RMM: inventariar herramientas RMM aprobadas y bloquear o alertar sobre agentes no autorizados (ScreenConnect/Tactical RMM/Mesh) y creación de servicios sospechosa.
  • Revisar decisiones de confianza de firma de código: tratar “firmado” como una señal, no como prueba. Agregar lógica de detección para publicadores nuevos/raros y binarios EV firmados inusuales.
  • Hacer hunting de indicadores de persistencia: buscar la clave Run TrustConnectAgent, servicios inesperados y patrones sospechosos de msiexec.exe junto con PowerShell codificado.
  • Fortalecer la resiliencia frente a phishing: reforzar la guía al usuario sobre indicaciones de “actualización requerida” desde correos/PDF y usar protecciones de Defender para detonar/inspeccionar adjuntos y enlaces.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.