Se informa sobre una campaña de spear-phishing activa que utiliza archivos screensaver de Windows (.scr) para instalar herramientas legítimas de Remote Monitoring and Management (RMM), otorgando a los atacantes control remoto interactivo persistente sin alertas de malware tradicionales.
Los atacantes envían emails con cebos temáticos de negocio que llevan a descargas de archivos .scr alojados en servicios confiables como GoFile. Al ejecutarse, estos screensavers instalan RMM legítimo (SimpleHelp u otros), que sobrevive reinicios y se mezcla con el tráfico IT normal, permitiendo:
● Control remoto persistente.
● Robo de credenciales.
● Exfiltración de datos.
● Movimiento lateral.
● Despliegue de ransomware.
La novedad radica en tratar screensavers como ejecutables de confianza, evadiendo reputación y controles tradicionales.
-1.jpg)
