Campanha de malware utiliza software legítimo para roubo de credenciais

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o software legítimo ConnectWise ScreenConnect para distribuir um loader que instala um trojan de acesso remoto (RAT) chamado AsyncRAT. O ataque começa com o uso do ScreenConnect para obter acesso remoto, seguido pela execução de um loader em VBScript e PowerShell que busca componentes ofuscados em URLs externas. Esses componentes incluem assemblies .NET codificados que se descompactam em AsyncRAT, mantendo persistência através de uma tarefa agendada disfarçada de ‘Skype Updater’.

Os atacantes têm enviado instaladores do ScreenConnect trojanizados, disfarçados como documentos financeiros, via e-mails de phishing. O script malicioso recupera dois arquivos externos, sendo que o primeiro, ’logs.ldk’, é uma DLL que escreve um segundo script em disco, garantindo que o payload seja executado automaticamente após cada login. O AsyncRAT é capaz de registrar teclas, roubar credenciais de navegadores e identificar aplicativos de carteira de criptomoedas instalados. As informações coletadas são exfiltradas para um servidor de comando e controle (C2), dificultando a detecção devido à natureza fileless do malware, que opera na memória. Essa abordagem representa um desafio significativo para as defesas de cibersegurança modernas.

Fonte: https://thehackernews.com/2025/09/asyncrat-exploits-connectwise.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
11/09/2025 • Risco: ALTO
MALWARE

Campanha de malware utiliza software legítimo para roubo de credenciais

RESUMO EXECUTIVO
O uso de AsyncRAT em combinação com ScreenConnect representa uma ameaça significativa, especialmente para organizações que dependem de soluções de acesso remoto. A capacidade do malware de operar de forma fileless e de se disfarçar como atualizações legítimas aumenta o risco de compromissos de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e dados sensíveis, comprometimento de sistemas.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de serviços']

📊 INDICADORES CHAVE

Uso de ScreenConnect para acesso remoto em 100% dos casos documentados. Indicador
AsyncRAT capaz de roubar credenciais de múltiplos navegadores. Contexto BR
Persistência garantida através de tarefas agendadas disfarçadas. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar o uso do ConnectWise ScreenConnect e verificar logs de acesso.
2 Implementar filtros de e-mail para bloquear mensagens de phishing e treinar funcionários sobre reconhecimento de fraudes.
3 Monitorar atividades suspeitas em sistemas e redes, especialmente relacionadas a tarefas agendadas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação de ataques que utilizam ferramentas legítimas, tornando a detecção mais difícil.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação ao vazamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).