Obtención de credenciales de superadministrador de ScreenConnect

25 de agosto de 2025

Por Samantha Clarke y el equipo de investigación de amenazas de Mimecast

Resumen de la campaña

Samantha Clarke y el equipo de investigación de amenazas de Mimecast han identificado una campaña de recopilación de credenciales (denominada MCTO3030) que se dirige específicamente a los administradores de la nube de ScreenConnect. Esta sofisticada operación ha mantenido unas tácticas, técnicas y procedimientos constantes desde 2022, lo que demuestra una seguridad operativa notable gracias a una distribución de bajo volumen que le ha permitido actuar sin ser detectada en gran medida.

La campaña utiliza correos electrónicos de spear phishing enviados a través de cuentas de Amazon Simple Email Service (SES) y está dirigida a profesionales de alto nivel del ámbito de las tecnologías de la información, entre los que se incluyen directores, responsables y personal de seguridad con privilegios elevados en entornos ScreenConnect. Los atacantes buscan específicamente credenciales de superadministrador, que les proporcionan un control total sobre la infraestructura de acceso remoto en toda la organización.

Una vez que el usuario hace clic en el botón «Revisar seguridad», se le redirige a uno de estos dos tipos de páginas de phishing:

Ejemplo número 1

Ejemplo número 2

Lo que hace que esta campaña resulte especialmente preocupante es su aparente relación con operaciones de ransomware. Una investigación de Sophos indica que los afiliados del ransomware Qilin están llevando a cabo ataques similares contra ScreenConnect, lo que sugiere que estas actividades de recopilación de credenciales sirven como vectores de acceso inicial para el posterior despliegue del ransomware.

Las credenciales de superadministrador obtenidas permiten a los atacantes instalar clientes o instancias maliciosas de ScreenConnect en varios terminales simultáneamente, lo que facilita un rápido movimiento lateral y la distribución de ransomware.

El carácter persistente de esta campaña y su relación con operaciones de ransomware la convierten en una amenaza significativa para las organizaciones que utilizan ScreenConnect para la gestión del acceso remoto. La combinación de sofisticadas técnicas de AITM y un enfoque específico dirigido a los usuarios con privilegios elevados requiere una estrategia defensiva de múltiples niveles que integre controles técnicos, formación de los usuarios y supervisión proactiva.

Infraestructura técnica y tácticas

Los autores de las amenazas utilizan Amazon SES para el envío de correos electrónicos debido a sus elevadas tasas de entrega, su bajo coste y su facilidad de configuración. Estas cuentas suelen crearse utilizando credenciales robadas o venderse a través de mercados clandestinos, lo que permite a los atacantes eludir los controles de seguridad tradicionales del correo electrónico a través de una infraestructura de confianza.

Las páginas de phishing emplean sofisticadas técnicas de «adversario en el medio» (AITM) mediante el marco EvilGinx, una herramienta de código abierto diseñada para interceptar tanto credenciales como códigos de autenticación multifactorial (MFA). Esta capacidad permite a los atacantes eludir las medidas de protección de autenticación modernas y mantener un acceso persistente a las cuentas comprometidas.

La infraestructura de dominios utiliza dominios de primer nivel con código de país (CCTLD) que siguen convenciones de nomenclatura relacionadas con ScreenConnect, lo que permite crear imitaciones muy convincentes de portales legítimos de ConnectWise/ScreenConnect. El uso sistemático de estos patrones de denominación a lo largo de varios años pone de manifiesto un modelo operativo eficaz que los autores de las amenazas siguen aprovechando.

Flujo de campaña

1. Contacto inicial:Correos electrónicos de spear phishing enviados a través de cuentas de Amazon SES comprometidas a profesionales de TI seleccionados
2. Ingeniería social: Se están difundiendo mensajes en los que se alerta de una actividad sospechosa de inicio de sesión en cuentas de ScreenConnect desde direcciones IP o ubicaciones inusuales
3. Robo de credenciales: se redirige a las víctimas a portales de inicio de sesión falsos de ScreenConnect alojados en dominios con código de país (TLD).
4. Aprovechamiento de AITM: el marco EvilGinx captura tanto nombres de usuario y contraseñas como tokens de autenticación multifactorial (MFA) en tiempo real
5. Compromiso de cuentas: los atacantes obtienen acceso total a las cuentas de superadministrador de ScreenConnect
6. Movimiento lateral: credenciales comprometidas que se utilizan para instalar herramientas de acceso adicionales o malware en los terminales gestionados

Protección de Mimecast

Mimecast ha implementado funciones de detección dirigidas específicamente a las características de esta campaña, entre las que se incluyen los patrones de uso indebido de Amazon SES, los indicadores de suplantación de identidad de ScreenConnect y las técnicas de phishing de AITM. Nuestro equipo de investigación de amenazas sigue vigilando la evolución táctica y los cambios en la infraestructura para garantizar una protección integral.

Destinatarios

Profesionales sénior de TI, directores de TI, administradores de sistemas y personal de seguridad con privilegios de superadministrador de ScreenConnect en todas las regiones y sectores.

Indicadores de compromiso (IOC)

Dominios

• connectwise.com.ar
• connectwise.com.be
• connectwise.com.cm
• connectwise.com.do
• connectwise.com.ec
• Otros dominios relacionados con ScreenConnect que utilizan dominios de nivel superior con código de país

Características de la infraestructura

• Infraestructura de envío de Amazon SES
• Kits de phishing basados en EvilGinx
• Patrones de dominios de nivel superior con código de país
• Suplantación de la marca ConnectWise/ScreenConnect

Recomendaciones

Formación en sensibilización de los usuarios

• Impartir formación específica al personal de TI sobre las campañas de phishing relacionadas con ScreenConnect
• Informar a los usuarios sobre las técnicas de suplantación de identidad (phishing) de AITM que pueden eludir la autenticación multifactorial (MFA) tradicional
• Lleve a cabo simulaciones periódicas de phishing que incluyan situaciones de inicio de sesión en ScreenConnect

Controles técnicos de seguridad

• Implemente políticas de acceso condicional que restrinjan el acceso de administrador a ScreenConnect en los dispositivos gestionados por la organización
• Implemente métodos de autenticación multifactorial (MFA) resistentes al phishing, como FIDO2/WebAuthn, para las cuentas de ScreenConnect
• Active el registro exhaustivo de los eventos de autenticación de ScreenConnect y de las actividades de administración
• Supervise las actividades administrativas inusuales, incluidas las nuevas implementaciones de clientes o los cambios de configuración

Detección proactiva de amenazas

• Busque en los registros de correo electrónico los dominios que coincidan con la lista de IOC o que mencionen «ScreenConnect» o «ConnectWise»
• Supervise los intentos de autenticación en instancias de ScreenConnect procedentes de rangos de IP o ubicaciones geográficas inesperadas
• Busque dominios que sigan los patrones de los dominios de nivel superior con código de país asociados a esta campaña
• Revise los registros de auditoría de administrador de ScreenConnect para detectar cambios no autorizados o instalaciones sospechosas de clientes

Mejora de la seguridad del correo electrónico

• Identifique el uso de Amazon SES dentro de la organización y en la cadena de suministro para determinar si los mensajes deben aceptarse en la pasarela.
• Implemente una protección avanzada de URL para identificar y bloquear la infraestructura de phishing de AITM
• Se recomienda prestar especial atención  a los correos electrónicos en los que se aleguen incidentes de seguridad o anomalías en el inicio de sesión.