ConnectWise ScreenConnect in cima alla lista dei RAT abusati negli attacchi del 2025

Un nuovo rapporto di Cofense Intelligence rivela una tendenza preoccupante negli attacchi informatici: i criminali stanno sempre più dirottando gli strumenti di accesso remoto (RAT ) legittimi per infiltrarsi nei sistemi informatici. A differenza dei software dannosi progettati specificamente per l'hacking, questi strumenti sono progettati per scopi legittimi e spesso utilizzati dai professionisti IT nelle aziende. La loro natura autentica li rende particolarmente pericolosi, in quanto possono aggirare le tradizionali misure di sicurezza e la diffidenza degli utenti.

Gli autori delle minacce stanno sfruttando la fiducia intrinseca in questi strumenti per accedere ai computer delle vittime, come hanno osservato i ricercatori nel post del blog condiviso con Hackread.com. Una volta installati, questi RAT legittimi diventano un gateway per la distribuzione di ulteriori programmi dannosi, spiando le attività degli utenti o rubando informazioni sensibili come password e registri aziendali riservati. La versatilità di questi strumenti, unita alla loro apparente affidabilità, li rende un'arma potente nelle mani dei criminali informatici.

Cofense Intelligence ha evidenziato diversi RAT legittimi frequentemente abusati. ConnectWise ScreenConnect , precedentemente noto come ConnectWise Control e ScreenConnect, è emerso come la scelta più diffusa dagli aggressori nel 2024, comparendo nel 56% dei report di minacce attive che coinvolgono RAT legittimi.

"ConnectWise RAT è lo strumento di accesso remoto legittimo più comunemente abusato e ha rappresentato il 56% di tutte le segnalazioni di minacce attive (ATR) con strumenti di accesso remoto legittimi nel 2024", ha scritto Kahng An dell'Intelligence Team di Cofense nel suo rapporto .

La sua popolarità è in ulteriore crescita nel 2025, con volumi di attacco già in linea con quelli registrati durante l'anno scorso. Un altro strumento, FleetDeck, ha registrato un'impennata di utilizzo durante l'estate del 2024, prendendo di mira in particolare i francofoni e i tedeschi con esche a tema finanziario.

Gli aggressori utilizzano vari metodi per indurre le vittime a installare questi strumenti. Per ConnectWise ScreenConnect, tra le campagne più note figurano lo spoofing della Social Security Administration statunitense con email che affermano di fornire estratti conto aggiornati delle prestazioni sociali.

Queste email contengono spesso link a file PDF falsi o direttamente al programma di installazione RAT. Un'altra tattica osservata dal 5 febbraio 2025 riguarda email che fingono di essere notifiche di file condivisi su "filesfm", inducendo le vittime a scaricare un client OneDrive apparentemente legittimo che in realtà è il programma di installazione RAT di ConnectWise.

Secondo Cofense, anche altri RAT legittimi vengono sfruttati. Atera, una suite completa di monitoraggio e gestione da remoto che si integra con strumenti come Splashtop, è stata utilizzata in campagne mirate a utenti di lingua portoghese in Brasile con falsi avvisi legali e fatture dall'ottobre 2024.

Anche RAT più piccoli e meno comuni come LogMeIn Resolve (GoTo RAT), Gooxion RAT, PDQ Connect, Mesh Agent, N-Able e Teramind sono stati osservati in varie campagne, spesso localizzate.

La facilità e il basso costo di acquisizione di questi strumenti consentono agli aggressori di passare rapidamente da uno all'altro, ponendo una sfida continua per la protezione della sicurezza informatica, hanno concluso i ricercatori di Cofense, aggiungendo che tali campagne sono in genere eventi una tantum difficili da sostenere.

Queste campagne sono generalmente eventi isolati e non sembrano durare nel tempo. È possibile che gli autori delle minacce passino rapidamente da un RAT all'altro a causa dell'elevato numero di opzioni disponibili sul mercato.