Campanha de Phishing Explora Ferramentas RMM para Acesso Não Autorizado

BR Defense Center (By River de Morais e Silva)
phishing

Uma nova pesquisa conjunta da Red Canary Intelligence e da Zscaler revela que atacantes estão utilizando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como ITarian, PDQ Connect, SimpleHelp e Atera, em campanhas de phishing em larga escala. Esses atacantes estão reconfigurando soluções de TI para estabelecer mecanismos de persistência furtiva, evitando a detecção e implantando malware secundário, como ladrões de informações e ransomware.

As campanhas de phishing utilizam técnicas de engenharia social bem conhecidas, sendo as atualizações falsas de navegadores uma das mais eficazes. Em um caso, sites comprometidos de esportes e saúde redirecionaram usuários para páginas fraudulentas de atualização do Chrome. Um overlay JavaScript sofisticado coletou informações dos usuários e os redirecionou para domínios controlados pelos atacantes, onde um instalador malicioso foi baixado.

Além disso, convites falsos para reuniões e festas têm sido utilizados como vetores de phishing, com instaladores disfarçados de software legítimo que, na verdade, instalam agentes RMM. A persistência é alcançada por meio de modificações no registro e DLLs carregadas, permitindo que os implantes sobrevivam a reinicializações e exfiltrando credenciais de navegador e informações do sistema. A detecção é desafiadora, pois o uso de ferramentas RMM legítimas se mistura com tarefas administrativas comuns de TI.

Fonte: https://cyberpress.org/phishing-campaign/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
16/09/2025 • Risco: ALTO
PHISHING

Campanha de Phishing Explora Ferramentas RMM para Acesso Não Autorizado

RESUMO EXECUTIVO
As campanhas de phishing estão se tornando mais sofisticadas, utilizando ferramentas RMM legítimas para garantir acesso não autorizado. Isso representa um risco significativo para a segurança das informações e a conformidade regulatória, exigindo atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a roubo de dados e interrupções operacionais.
Operacional
Exfiltração de credenciais de navegador e informações do sistema.
Setores vulneráveis
['Tecnologia da Informação', 'Saúde', 'Esportes']

📊 INDICADORES CHAVE

Uso de múltiplas ferramentas RMM em conjunto para acesso redundante. Indicador
Domínios maliciosos como pianepal[.]com e opalcatacomb[.]pro identificados. Contexto BR
Instaladores maliciosos hospedados em serviços de nuvem confiáveis. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar logs de uso de ferramentas RMM e identificar atividades suspeitas.
2 Implementar restrições de download e monitorar domínios desconhecidos.
3 Acompanhar o uso de executáveis RMM e registrar parâmetros de linha de comando incomuns.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação das campanhas de phishing que exploram ferramentas legítimas, aumentando o risco de acesso não autorizado.

⚖️ COMPLIANCE

Implicações para a LGPD e a necessidade de proteger dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).