Pesquisadores da Tempest, empresa de cibersegurança do grupo Embraer, detectaram um aumento expressivo no uso de softwares de Monitoramento e Gerenciamento Remoto (RMM) em ataques direcionados ao Brasil. Essas ferramentas, originalmente desenvolvidas para equipes de TI administrarem dispositivos de forma remota, estão sendo modificadas por criminosos para tomar controle de máquinas, executar comandos e movimentar-se dentro das redes das vítimas.
Uso estratégico de RMMs para burlar detecções
A preferência dos invasores por RMMs se deve, em parte, à baixa taxa de detecção por soluções de segurança tradicionais e à possibilidade de utilizá-las sem a necessidade de criar malwares personalizados. Com instaladores legítimos modificados, os atacantes conseguem estabelecer conexões diretas com seus painéis de controle sem exigir interação adicional das vítimas.
Além disso, esses softwares reduzem as etapas de infecção, facilitando a ação dos criminosos ao eliminarem a necessidade de desenvolver códigos maliciosos do zero.
Campanhas maliciosas com spam e engenharia social
A Tempest identificou campanhas de spam utilizando URLs maliciosas para disseminar instaladores de ferramentas RMM como PDQ Connect, Atera e ScreenConnect. Essas mensagens, disfarçadas como consultas de notas fiscais, induzem vítimas a baixar e executar arquivos que permitem o acesso remoto dos atacantes.
Para aumentar a credibilidade da fraude, os criminosos usam arquivos de texto contendo informações reais de empresas e CNPJs, direcionando os ataques a organizações específicas.
Com a crescente sofisticação das ameaças, especialistas reforçam a necessidade de monitoramento contínuo e treinamento de equipes para identificar táticas de engenharia social e evitar comprometimentos por meio de ferramentas legítimas exploradas para fins maliciosos.
