Roubo de Credenciais - Cibercriminosos Explorando Administradores do ScreenConnect

BR Defense Center (By River de Morais e Silva)
phishing

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.

Fonte: https://cyberpress.org/screenconnect-credential-theft/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
26/08/2025 • Risco: ALTO
PHISHING

Roubo de Credenciais - Cibercriminosos Explorando Administradores do ScreenConnect

RESUMO EXECUTIVO
A campanha MCTO3030 representa uma ameaça significativa para organizações que utilizam o ConnectWise ScreenConnect, com um foco particular em administradores de TI. A exploração de credenciais pode resultar em acesso a dados sensíveis e compromissos de segurança, exigindo atenção imediata das lideranças de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a ataques de ransomware.
Operacional
Acesso não autorizado a sistemas corporativos e potencial distribuição de ransomware.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços em Nuvem']

📊 INDICADORES CHAVE

Campanha ativa desde 2022. Indicador
Uso de Amazon SES para alta taxa de entrega. Contexto BR
Exploração de credenciais de superadministrador. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e autenticação do ScreenConnect.
2 Implementar MFA resistente a phishing e revisar políticas de acesso para superadministradores.
3 Monitorar continuamente os logs de auditoria do ScreenConnect para atividades anômalas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de credenciais de administradores, pois a exploração pode levar a acessos não autorizados e a compromissos de dados em larga escala.

⚖️ COMPLIANCE

Implicações para a LGPD em caso de vazamento de dados de clientes.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).