.png)
Los piratas informáticos explotan la función de asistencia rápida de Windows para implementar el ransomware Black Basta
Quick Assist, la herramienta de control remoto integrada en Windows, está siendo explotada por los ciberdelincuentes como parte de una campaña maliciosa para implementar el ransomware Black Basta. Echemos un vistazo.
Quick Assist es una función de Windows 10 y Windows 11 que le permite ofrecer control remoto a su computadora. Esto puede ser útil para una intervención de soporte de TI, por ejemplo.
Desde mediados de abril, los ciberdelincuentes del grupo Storm-1811, una banda financiada por la banda de ransomware Black Basta, han lanzado una campaña de ataques de ingeniería social.
"Los ciberdelincuentes abusan de las funciones de asistencia rápida para llevar a cabo ataques de ingeniería social haciéndose hacer, por ejemplo, un contacto de confianza como el soporte técnico de Microsoft o un profesional de TI en la empresa del usuario objetivo para obtener acceso inicial a un dispositivo objetivo", se lee en el Sitio web de Microsoft.
Un elaborado modus operandi en un contexto de phishing de voz
Todo comienza con la identificación de los usuarios a los que se dirigirá a través de su dirección de correo electrónico. Los piratas informáticos colocarán estas direcciones de correo electrónico en las listas de suscripción para que los usuarios reciban una gran cantidad de spam. Luego, los piratas informáticos se pondrán en contacto con el usuario con el pretexto de querer corregir este problema de recibir mucho spam.
​
Es a partir de ahí que se puede contactar a través de una llamada telefónica. Para atrapar al usuario, el hacker se hace pasar por un técnico de la empresa o una persona de soporte técnico de Microsoft.
​
Gracias a Quick Assist, obtienen acceso remoto a la máquina y podrán solicitar tomar el control de forma remota, con el fin de resolver este famoso "problema" de spam.
​
"El usuario objetivo solo tiene que presionar CTRL + Windows + Q e ingresar el código de seguridad proporcionado por el ciberdelincuente", dice Microsoft. Este acceso directo inicia inmediatamente Quick Assist en la máquina. Sin embargo, su objetivo es implementar malware en la máquina. Un muy buen ejemplo de phishing de voz.
​
En la máquina comprometida, se despliegan varias herramientas, entre ellas ScreenConnect para controlar la máquina de forma remota (desatendida), Cobalt Strike, así como QakBot, un troyano bancario muy útil para desplegar otro malware. El último paso es implementar el ransomware Black Basta en la red corporativa.
​
Microsoft recomienda desinstalar o bloquear Asistencia rápida en los dispositivos si no usa esta característica. Por supuesto, también es importante concienciar e informar a los usuarios.