Uma campanha de intrusão sofisticada, iniciada em setembro de 2024, explorou uma vulnerabilidade no instalador do EarthTime da DeskSoft para disseminar diversas famílias de malware e realizar reconhecimento de rede, roubo de credenciais e exfiltração de dados por meio de sessões RDP tuneladas. O ataque começou quando um usuário executou um instalador do EarthTime adulterado, que, ao ser iniciado, ativou uma cadeia de execução anômala que injetou o SectopRAT, um RAT .NET, no processo do MSBuild. Os atacantes estabeleceram persistência ao copiar o payload para a pasta de inicialização e criaram uma conta de administrador local para acesso contínuo. A movimentação lateral foi realizada principalmente por meio de padrões de logon RDP, enquanto um ataque DCSync recuperou credenciais de domínio. A exfiltração de dados foi realizada via FTP em texto claro, expondo credenciais durante a transferência. Este incidente destaca a necessidade crítica de validação robusta de certificados e monitoramento de atividades anômalas em ambientes corporativos.
Fonte: https://cyberpress.org/desksoft-malware-rdp-exploit/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
09/09/2025 • Risco: CRITICO
MALWARE
Cibercriminosos exploram DeskSoft para espalhar malware via RDP
RESUMO EXECUTIVO
Este incidente revela a vulnerabilidade de sistemas corporativos a ataques sofisticados que utilizam técnicas de engenharia social e exploração de software. A exploração de vulnerabilidades em ferramentas comuns pode levar a consequências severas, incluindo a perda de dados e danos à reputação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e exfiltração de dados sensíveis.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
Mais de 1.200 consultas DNS realizadas.
Indicador
Injeção do Betruger em 172 processos.
Contexto BR
Seis compartilhamentos de arquivos de alto valor comprimidos e exfiltrados.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a integridade dos sistemas e a presença de softwares não autorizados.
2
Implementar monitoramento rigoroso de atividades RDP e validar certificados de software.
3
Monitorar continuamente logs de acesso e atividades anômalas em redes.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas redes, especialmente em relação a vulnerabilidades em softwares amplamente utilizados e a possibilidade de exfiltração de dados sensíveis.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
