Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
VENOMOUS HELPER colpisce 80 aziende: phishing SSA e doppio RMM legittimo per accesso remoto persistente
Una campagna di phishing attiva almeno da aprile 2025 sta colpendo il mondo aziendale sfruttando un approccio particolarmente insidioso nella cybersecurity moderna. Invece di installare malware tradizionale facilmente rilevabile, gli attaccanti usano software legittimo di Remote Monitoring and Management (RMM) per ottenere accesso remoto persistente ai sistemi compromessi.
La campagna è stata associata al nome VENOMOUS HELPER e avrebbe già impattato oltre 80 organizzazioni, con una forte concentrazione negli Stati Uniti.
Il punto di forza dell’attacco è l’abuso di strumenti autentici e firmati come SimpleHelp e ConnectWise ScreenConnect. Questi tool sono normalmente utilizzati da team IT e fornitori di assistenza remota, quindi possono apparire come attività lecite. La presenza di due soluzioni RMM non è casuale: la strategia crea un accesso remoto ridondante a doppio canale, così l’operatore mantiene il controllo anche se uno dei due strumenti viene individuato e bloccato dai controlli di sicurezza.
La catena di infezione parte da una email di phishing che impersona la U.S. Social Security Administration (SSA). Il messaggio invita la vittima a verificare l’indirizzo email e a scaricare un presunto estratto o statement. Il link porta a un sito reale ma compromesso, scelta utile per eludere i filtri antispam e aumentare la credibilità della comunicazione. Da lì il download prosegue tramite un secondo dominio controllato dagli attaccanti, che distribuisce un file eseguibile Windows camuffato da documento.
Una volta avviato, l’eseguibile installa SimpleHelp come servizio Windows e implementa persistenza anche in Safe Mode. Inoltre include un meccanismo di auto-ripristino che riavvia il servizio se terminato, rendendo più complessa la rimozione manuale. Il componente effettua anche controlli periodici per enumerare i prodotti di sicurezza registrati tramite WMI e per rilevare la presenza dell’utente, informazioni utili per scegliere quando agire senza farsi notare.
Per ottenere un controllo completo della macchina, il client di accesso remoto acquisisce privilegi elevati e può arrivare a livello SYSTEM, abilitando lettura schermo, invio di input da tastiera e accesso alle risorse nel contesto utente. Successivamente viene installato anche ScreenConnect come canale di backup, utile per mantenere la continuità operativa e facilitare movimenti laterali nella rete.