Säkerhetsforskare på ANY.RUN har dokumenterat en attackkedja där angripare använder betrodda fjärråtkomstverktyg för att ta sig in i företagsnätverk utan att utlösa larm. Attacken börjar med ett nätfiskemail och slutar med full fjärrkontroll över offrets dator.

Så fungerar attacken

Offret får ett e-postmeddelande i Outlook som leder till en sida som ser ut som Word Online eller OneDrive. Sidan uppmanar användaren att ladda ner och köra en MSI-installatörsfil. När filen körs installeras ScreenConnect, ett legitimt fjärråtkomstverktyg, tillsammans med ett dolt verktyg som döljer aktiviteten från säkerhetsprogram.

Det som gör attacken svår att stoppa är att varje steg i kedjan ser normalt ut. Legitima installatörer, godkända fjärråtkomstverktyg och vanliga systemprocesser används genomgående. Säkerhetssystem som letar efter kända skadliga filer missar hela attacken.

Blinda fläckar i företagssäkerheten

För säkerhetsteam skapar detta flera problem samtidigt. Betrodda verktyg blir en del av intrångsbanan. Tier 1-analytiker behöver mer tid för att förstå vad som hänt. Fjärråtkomst kan vara etablerad innan incidenten prioriteras. Ledningen saknar en tydlig bild av allvaret.

Nyckelfrågan är inte om nätfiskesidan upptäcktes, utan om organisationen snabbt kan förstå vad som hände efter klicket, vilka verktyg som installerades och hur stor risken är.

Vad företag bör göra

Skyddet mot den här typen av attacker kräver beteendebaserad analys snarare än signaturbaserad detektering. Organisationer bör övervaka installation av fjärråtkomstverktyg, begränsa vilka program som får köras via MSI-installatörer och träna anställda att känna igen falska dokumentförhandsvisningar. En tydlig process för snabb eskalering när misstänkt fjärråtkomst detekteras är avgörande.