A Netskope divulgou um alerta sobre uma nova campanha de ataques cibernéticos que utiliza convites falsos para reuniões em plataformas de videoconferência como Zoom, Microsoft Teams e Google Meet. A ação tem como objetivo assumir o controle de computadores corporativos e facilitar a movimentação dos invasores dentro das redes empresariais.
De acordo com o Netskope Threat Labs, os criminosos exploram um hábito comum no ambiente de trabalho, a participação em videoconferências. A vítima recebe um link aparentemente legítimo e é direcionada a uma página que reproduz com alto grau de fidelidade o visual das plataformas, incluindo uma lista dinâmica de participantes que já teriam ingressado na chamada. Ao tentar entrar na reunião, surge a solicitação para instalar uma suposta atualização.
Engenharia social com softwares legítimos
O golpe se concretiza quando a vítima faz o download da falsa atualização. O arquivo instala uma ferramenta de monitoramento e gerenciamento remoto, conhecida como RMM, amplamente utilizada por empresas de tecnologia, como Datto RMM, LogMeIn ou ScreenConnect.
Por serem softwares legítimos e assinados digitalmente, essas ferramentas não costumam ser identificadas como ameaças por soluções tradicionais de antivírus. Uma vez instaladas, permitem que o invasor obtenha acesso administrativo completo ao equipamento comprometido.
“Quem nunca recebeu um alerta para atualizar uma ferramenta de videoconferência para entrar em uma reunião? A minha sempre está avisando que há uma atualização disponível.”, comenta Ray Canzanese, diretor do Netskope Threat Labs. “Esse é um excelente exemplo de engenharia social: enganar a vítima para que ela siga os mesmos passos que já realizou inúmeras vezes antes. E o uso de um software legítimo de RMM torna o golpe ainda mais convincente, porque não vai acionar um alerta de malware. Essa combinação de técnicas pode ser altamente eficaz, por isso os usuários precisam ficar atentos a esse golpe.”
Risco de movimentação lateral e ransomware
Com o controle do dispositivo, o criminoso pode visualizar a tela, copiar arquivos, executar comandos remotamente e se movimentar pela rede corporativa. A partir de um único computador comprometido, o ataque pode se expandir, abrindo caminho para roubo de dados e ataques de ransomware.
Segundo o laboratório de pesquisas, a combinação de engenharia social com o uso de ferramentas legítimas amplia o potencial de sucesso do golpe e exige atenção redobrada das equipes de segurança da informação.
