Screenconnect

O ConnectWise ScreenConnect, uma solução popular de Monitoramento e Gerenciamento Remoto, está sendo explorado por cibercriminosos para obter acesso persistente a redes empresariais nos EUA. Pesquisadores identificaram pelo menos oito hosts públicos que distribuem instaladores adulterados do ScreenConnect, que contêm arquivos maliciosos como AsyncRAT e um loader em PowerShell. Os atacantes utilizam um instalador repaginado que, ao ser baixado, busca um pacote ZIP com scripts maliciosos e uma DLL nativa. O ataque é sofisticado, utilizando técnicas como bypass de políticas de execução do PowerShell e injeção de processos para evitar a detecção por antivírus. Além disso, campanhas de phishing têm sido usadas para disseminar esses instaladores, marcando uma mudança estratégica para operações de acesso remoto persistente. Para mitigar esses riscos, é essencial implementar políticas de detecção comportamental e controles de rede que identifiquem padrões de download maliciosos. A adoção de autenticação multifatorial e a auditoria de acessos de terceiros também são recomendadas para proteger as consoles de RMM.

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.