O ConnectWise ScreenConnect, uma solução popular de Monitoramento e Gerenciamento Remoto, está sendo explorado por cibercriminosos para obter acesso persistente a redes empresariais nos EUA. Pesquisadores identificaram pelo menos oito hosts públicos que distribuem instaladores adulterados do ScreenConnect, que contêm arquivos maliciosos como AsyncRAT e um loader em PowerShell. Os atacantes utilizam um instalador repaginado que, ao ser baixado, busca um pacote ZIP com scripts maliciosos e uma DLL nativa. O ataque é sofisticado, utilizando técnicas como bypass de políticas de execução do PowerShell e injeção de processos para evitar a detecção por antivírus. Além disso, campanhas de phishing têm sido usadas para disseminar esses instaladores, marcando uma mudança estratégica para operações de acesso remoto persistente. Para mitigar esses riscos, é essencial implementar políticas de detecção comportamental e controles de rede que identifiquem padrões de download maliciosos. A adoção de autenticação multifatorial e a auditoria de acessos de terceiros também são recomendadas para proteger as consoles de RMM.
Fonte: https://cyberpress.org/screenconnect-asyncrat/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
19/09/2025 • Risco: ALTO
MALWARE
Aplicativo ScreenConnect é explorado para entregar AsyncRAT e PowerShell RAT
RESUMO EXECUTIVO
O uso malicioso do ScreenConnect para implantar AsyncRAT e PowerShell RAT representa uma ameaça significativa para empresas que dependem dessa tecnologia. A exploração de instaladores adulterados e técnicas de evasão de segurança exigem uma resposta rápida e eficaz das equipes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Acesso persistente a redes empresariais e potencial exfiltração de dados.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
Oito hosts públicos identificados distribuindo instaladores maliciosos.
Indicador
Pacotes de payload variando de 60 KB a 3 MB.
Contexto BR
Execução de tarefas persistentes a cada dois minutos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e integridade dos instaladores do ScreenConnect.
2
Implementar políticas de EDR para detectar comportamentos anômalos e bloqueio de scripts maliciosos.
3
Monitorar continuamente padrões de download e acessos a URLs suspeitas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas redes, especialmente se utilizam ferramentas de RMM como o ScreenConnect, que estão sendo ativamente exploradas.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
