Screenconnect

Ameaça de Malware Utiliza ScreenConnect para Distribuir AsyncRAT

Um novo ataque cibernético está utilizando a ferramenta de acesso remoto ScreenConnect para implantar o malware AsyncRAT. A Kaspersky identificou uma campanha massiva que distribui arquivos de instalação maliciosos disfarçados de softwares populares, como OBS Studio e Bandicam, em mais de 90 domínios falsificados em 10 idiomas, incluindo português. Esses arquivos maliciosos contêm um executável legítimo da Microsoft e uma biblioteca DLL maliciosa, que, ao serem carregados, ativam o serviço ScreenConnect. Isso permite que os atacantes mantenham controle sobre os dispositivos comprometidos, que podem incluir tanto usuários individuais quanto organizações. O malware realiza diversas ações, como desativar o Controle de Conta de Usuário e criar scripts que extraem e executam o módulo AsyncRAT. A conexão com um servidor remoto permite que os invasores monitorem atividades e roubem dados sensíveis. A persistência do malware é garantida por uma tarefa agendada que executa scripts a cada dois minutos, mesmo após reinicializações do sistema. A Kaspersky alerta que os atacantes utilizam técnicas de SEO para posicionar seus sites fraudulentos nos resultados de busca, aumentando a probabilidade de infecção.

Campanha de Cryptojacking Alvo de Computadores de Alto Desempenho

Uma nova campanha de cryptojacking está atacando sistemas com computadores de alto desempenho, utilizando uma operação de envenenamento de SEO coordenada que manipula recomendações de chatbots de IA. Os ataques começam quando usuários buscam por softwares utilitários legítimos, como CrystalDiskInfo e HWMonitor, e são redirecionados para links maliciosos que aparecem nas primeiras posições dos resultados de busca. Após a infecção, os atacantes ganham acesso persistente ao sistema por meio da ferramenta de gerenciamento remoto ScreenConnect, que pode ser usada para instalar malware adicional.

Vulnerabilidade crítica no ScreenConnect pode permitir acesso não autorizado

A ConnectWise alertou os clientes do ScreenConnect sobre uma vulnerabilidade crítica de verificação de assinatura criptográfica, identificada como CVE-2026-3564, que pode resultar em acesso não autorizado e escalonamento de privilégios. Essa falha afeta versões do ScreenConnect anteriores à 26.1, uma plataforma de acesso remoto amplamente utilizada por provedores de serviços gerenciados (MSPs) e equipes de suporte. Um atacante pode explorar essa vulnerabilidade para extrair e utilizar chaves de máquina ASP.NET para autenticação de sessões não autorizadas. A ConnectWise implementou melhorias na proteção das chaves de máquina na versão 26.1, incluindo armazenamento criptografado e melhor gerenciamento. Os usuários da versão em nuvem foram atualizados automaticamente, enquanto os administradores de sistemas locais devem atualizar imediatamente. A empresa também observou tentativas de exploração da vulnerabilidade, embora não haja evidências de exploração ativa até o momento. A recomendação é que os administradores reforcem o acesso a arquivos de configuração e monitorem atividades de autenticação incomuns.

Aplicativo ScreenConnect é explorado para entregar AsyncRAT e PowerShell RAT

O ConnectWise ScreenConnect, uma solução popular de Monitoramento e Gerenciamento Remoto, está sendo explorado por cibercriminosos para obter acesso persistente a redes empresariais nos EUA. Pesquisadores identificaram pelo menos oito hosts públicos que distribuem instaladores adulterados do ScreenConnect, que contêm arquivos maliciosos como AsyncRAT e um loader em PowerShell. Os atacantes utilizam um instalador repaginado que, ao ser baixado, busca um pacote ZIP com scripts maliciosos e uma DLL nativa. O ataque é sofisticado, utilizando técnicas como bypass de políticas de execução do PowerShell e injeção de processos para evitar a detecção por antivírus. Além disso, campanhas de phishing têm sido usadas para disseminar esses instaladores, marcando uma mudança estratégica para operações de acesso remoto persistente. Para mitigar esses riscos, é essencial implementar políticas de detecção comportamental e controles de rede que identifiquem padrões de download maliciosos. A adoção de autenticação multifatorial e a auditoria de acessos de terceiros também são recomendadas para proteger as consoles de RMM.

Roubo de Credenciais - Cibercriminosos Explorando Administradores do ScreenConnect

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.