Um novo relatório por parte de pesquisadores de segurança evidencia uma técnica cada vez mais preocupante: em vez de criar malware próprio, os atacantes estão aproveitando ferramentas legítimas de administração remota para manter acesso persistente a equipamentos comprometidos. Pesquisadores do KnowBe4 descrevem uma campanha em duas etapas em que o objetivo inicial é roubar credenciais através de e-mails falsos, e a segunda parte consiste em converter essas credenciais roubadas em acesso permanente usando software de Remote Monitoring and Management (RMM) legítimo como se fosse uma "chave-prima" do sistema. Você pode ler a análise original do KnowBe4 aqui: KnowBe4 - The Skeleton Key.
A primeira fase da operação aproveita um senhinho convincente: convites falsos que parecem vir de serviços legítimos de envio de cartões eletrônicos. Estas comunicações induzem o destinatário a carregar num link de phishing que simula uma página de login de grandes fornecedores de e-mail como Outlook, Yahoo! ou AOL. Quando a vítima introduz suas credenciais, estas ficam nas mãos dos atores maliciosos, que a partir daí avançam sem necessidade de explorar vulnerabilidades técnicas complexas.
Com uma conta comprometida em seu poder, os atacantes registram essa direção em plataformas de gerenciamento remoto para gerar tokens de acesso de RMM. No caso documentado, a cadeia termina com o lançamento de um executável com um nome atraente e aparentemente legítimo - o ficheiro identificado como "GreenVelopeCard.exe" - que inclui no seu interior uma configuração em formato JSON. Esse arquivo está assinado digitalmente e é usado para baixar e instalar silenciosamente a ferramenta de acesso remoto (neste caso, LogMeIn Resolve, também conhecido como GoTo Resolve) e conectar-a a um servidor controlado pelo atacante sem que o usuário o advierta. O produto em causa pode ser consultado no seu site oficial: GoTo Resolve.
Uma vez implantada a ferramenta RMM, os operadores modificam seus parâmetros para funcionar com privilégios elevados no Windows e criam mecanismos de persistência que impedem que um fechamento manual termine com a intrusão: mudam a configuração do serviço e geram tarefas programadas ocultas que relançam o software quanto necessário. Ou seja, transformam uma utilidade projetada para a gestão e suporte legítimo em um backdoor eficaz e durável.
O problema de fundo é que as defesas tradicionais, baseadas exclusivamente em detecção de “malware conhecido”, podem falhar em frente a esse tipo de abuso: as aplicações são legais, estão assinadas e se instalam com credenciais válidas. Isso não significa que não haja sinais que possam e devem ser vigiados. Atividades atípicas como a criação de acessos RMM a partir de contas novas ou a partir de localizações geográficas invulgares, a emissão de tokens por contas não administradas, instalações de software de suporte fora de canais aprovados e a presença de tarefas programadas que são criadas sem justificação administrativa deveriam disparar alertas em um SIEM ou nas ferramentas de monitoramento corporativo.
Em termos práticos, a mitigação passa por reforçar a protecção das credenciais e limitar a utilização de uma conta administrativa. A ativação e exigência de autenticação multifator é uma medida simples e eficaz que reduz drasticamente a probabilidade de que credenciais roubadas permitam registrar serviços em nome da vítima; a Microsoft e outros fornecedores oferecem guias sobre como implementar MFA de forma robusta: Guia de MFA (Microsoft). Além disso, é recomendável manter um inventário rigoroso das ferramentas RMM autorizadas, controlar os certificados de assinatura e aplicar políticas de leiast privilege para as contas com capacidade de instalar software ou gerar tokens de acesso.
A consciênciação também conta. Os esforços de formação para que funcionários e administradores reconheçam e-mails de phishing e sinais de compromisso ajudam a cortar a campanha em sua fase inicial. As autoridades e organismos de protecção ao consumidor dispõem de recursos práticos sobre como identificar e evitar campanhas de phishing: Dicas contra o phishing (FTC). Para equipamentos de segurança, é prudente rever os guias nacionais sobre acesso remoto seguro, como as que publica a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA. : Securing Remote Access (CISA).
Finalmente, esta campanha é um lembrete claro de que a confiança em ferramentas legítimas pode ser manipulada. As organizações devem assumir que os atacantes nunca deixarão de procurar atalhos para evitar controlos e, por isso, convém combinar medidas preventivas - como MFA, controle de contas privilegiadas e listas brancas de aplicações - com detecção baseada em comportamento, auditoria contínua de instalações e procedimentos de resposta que incluam a revogação rápida de tokens e a remediação de serviços RMM suspeitos. A chave está em não tratar as ferramentas de suporte remoto como intocáveis, mas como recursos que, como qualquer outro, precisam de governança e monitoramento.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...