Instalan y ejecutan una herramienta silenciosa de acceso remoto
Si recibes por correo electrónico una invitación a un evento, verifica que sea legítima antes de confirmar tu asistencia, ya que podrías no estar invitado a ningún evento.
Malwarebytes Labs ha identificado una nueva estafa en la que los cibercriminales utilizan invitaciones a eventos para engañar a los usuarios y conseguir que instalen una herramienta de acceso remoto (RAT) que les otorga control total sobre los dispositivos infectados. (Esta campaña parece estar limitada al Reino Unido, pero tácticas similares podrían propagarse fácilmente).
Estas invitaciones maliciosas contienen un instalador de ScreenConnect
La estafa comienza con una invitación por correo electrónico aparentemente inofensiva con un toque informal de "Reserva la fecha" que puede parecer de un amigo o conocido. El mensaje contiene un enlace a "Ver invitación" para obtener detalles del evento.
Si haces clic, accederás a una página de destino con un encabezado en negrita que dice "Estás invitado" y un botón para descargar la invitación, pero no necesitas hacer nada más: tu navegador inicia automáticamente la descarga de un archivo .msi, que en realidad no es una invitación a una fiesta ni un formulario de confirmación de asistencia, sino un instalador.
El MSI instala silenciosamente ScreenConnect Client, una herramienta legítima de soporte informático que permite el acceso remoto al equipo del usuario. Una vez establecida la conexión, los atacantes pueden ver la pantalla, controlar el ratón y el teclado, y cargar o descargar archivos, incluso si se reinicia el equipo. Todo esto ocurre en segundo plano, sin indicios evidentes de que se haya instalado y ejecutado una herramienta de acceso remoto, por lo que es poco probable que las víctimas tengan motivos de preocupación.
Debes conocer estas señales de alerta de acceso remoto
Como señala Malwarebytes, este esquema tiene éxito porque se basa en el comportamiento humano normal en una situación aparentemente de bajo riesgo: abrir una invitación a un evento.
Lo inusual es que el mensaje inicial no transmite mucha presión ni urgencia. En cambio, la página de destino incluye frases como "un amigo te ha enviado una invitación" y "Abrí la mía y fue facilísimo", lo cual constituye una forma de prueba social que guía a los usuarios a realizar la acción deseada.
Siempre debes estar atento a las invitaciones no solicitadas enviadas por correo electrónico con un enlace a un sitio externo, así como a cualquier comunicación que te solicite descargar o instalar software.
Hoy en día, las invitaciones se envían comúnmente a través de aplicaciones y servicios digitales como Partiful, Paperless Post, Evite o Apple Invites, que suelen ser más confiables que los correos electrónicos aleatorios con hipervínculos. Si no estás seguro de si la invitación es real, verifica con el remitente por otro canal antes de hacer clic o descargar nada.
Como se mencionó, es posible que las víctimas de esta estafa no se den cuenta inmediatamente de que se ha instalado un RAT en su dispositivo. Sin embargo, existen algunas señales de alerta, como un movimiento inexplicable del cursor o ventanas que se abren o cierran solas. Puedes revisar tu equipo para ver si hay un archivo llamado "RSVPPartyInvitationCard.msi" o un servicio llamado ScreenConnect Client con caracteres aleatorios adicionales en el título.
Si ya descargaste ScreenConnect a través de una invitación maliciosa, Malwarebytes recomienda desconectarte de internet y desinstalar el programa inmediatamente. Ejecuta un análisis de seguridad para comprobar si tu dispositivo tiene malware y cambia las contraseñas importantes desde otro dispositivo.
