Uma campanha de phishing comprometeu mais de 80 organizações, utilizando ferramentas legítimas de acesso remoto como SimpleHelp e ScreenConnect. Os atacantes enganam as vítimas para que instalem esses programas, obtendo controle total dos sistemas. Uma vez dentro, roubam credenciais, implantam malware e estabelecem persistência nas redes afetadas.
Como os atacantes operam com RMM legítimos 🛡️
Os atacantes enviam e-mails ou mensagens que simulam ser suporte técnico, incitando a vítima a baixar SimpleHelp ou ScreenConnect. Ao ser executado, o software legítimo permite o controle remoto sem levantar suspeitas nos antivírus. Em seguida, os agressores implantam cargas maliciosas como ladrões de credenciais, ransomware ou portas dos fundos, e modificam configurações do sistema para garantir seu acesso contínuo.
O suporte técnico que ninguém pediu nem precisa 🚨
Acontece que a melhor forma de se infiltrar em uma empresa não é com exploits complexos, mas sim pedindo educadamente que você instale um programa de controle remoto. Os atacantes agem como aquele técnico que aparece sem avisar, diz que seu PC tem um vírus e depois rouba suas senhas. O pior é que o software é legal; o crime é que tenham te vendido como suporte oficial.