Uma campanha de phishing ativa detectada desde pelo menos abril de 2025 está explodindo a confiança em ferramentas de administração remota legítimas para conseguir e manter acesso persistente a redes corporativas; o operador, identificado por alguns rastreamentos como VENOMOUS#HELPER relacionado com clusters rotulados por Sophos como STAC6405, afectou mais de 80 organizações, majoritariamente nos Estados Unidos. O relevante não é apenas o engano inicial — um e-mail que se faz passar pela Administração do Seguro Social dos EUA. EUA (SSA) e redeirige sites legítimos comprometidos para evitar filtros — mas a estratégia técnica: a instalação de duas soluções RMM (SimpleHelp e ConnectWise ScreenConnect) de forma encoberta para criar uma arquitetura redundante de acesso remoto que resiste a tentativas de mitigação.
O modus operandi combina táticas de engenharia social com técnicas de "living off the land" e abuso de software assinado: o executável malicioso, empacotado com JWrapper e hospedado temporariamente em um site legítimo comprometido, instala-se como serviço do Windows com persistência mesmo em Modo Seguro, incorpora um "watchdog" que auto-revive o processo quando termina e realiza sondas periódicas do ambiente de segurança mediante consultas ao espaço WMI root\SecurityCenter2. Além disso, para activar o controlo total do ecrã do utilizador, o cliente SimplesHelp solicita o SeDebugPrivilege e usa um componente legítimo (elev_win.exe) para escalar o SYSTEM, permitindo ler ecrãs, injetar teclas e pivotar lateralmente; se o SimpleHelp for detectado, o ator instala o ScreenConnect como canal de apoio.
As implicações são graves: os defensores podem ver software legítimo e assinado por um fornecedor confiável, enquanto o atacante mantém persistência, movimentos laterais e possibilidade de retorno em qualquer momento. Este padrão se encaixa com atividades de Initial Access Brokers (IAB) e operações anteriores a ransomware: comprometer acesso de alto valor que depois é vendido ou explorada em fases posteriores. Para as organizações, a combinação de engenharia social dirigida, staging em hosts legítimos e abuso de ferramentas RMM reduz a eficácia de controles baseados em assinatura e obriga a uma abordagem de detecção por comportamento e arquitetura.
Em termos práticos, as defesas devem mover-se em duas frentes: prevenção do acesso inicial e detecção/erradicação da presença RMM não autorizada. Na prevenção, além de reforçar a SPF/DMARC/DKIM e aplicar a sandboxing de ligações e downloads, é crítico limitar a capacidade de instalar software com privilégios: aplicar políticas de mínimos privilégios, usar listas brancas de aplicações (AppLocker ou WDAC), e exigir aprovação explícita para a instalação de soluções RMM. A proteção do ecossistema web e hospedagem também é essencial: monitorar acessos a painéis cPanel, rotar credenciais e revisar integridade de contas em hospedagem que poderiam ser usadas para stage de binários.
Em detecção e incidência, os equipamentos devem procurar comportamentos concretos que delatem esta operação: criação de serviços persistentes que sobrevivem ao Modo Seguro, processos que se reanimam automaticamente (watchdog), consultas frequentes à WMI sobre produtos de segurança, inquéritos regulares de presença de usuário, execuções de elev_win.exe ou pedidos a SeDebugPrivilege, e o aparecimento súbito de clientes RMM (SimpleHelp/ScreenConnect) em estações ou servidores. Se houver suspeita, as ações urgentes incluem isolar os endpoints afetados, coletar artefatos e memória para análise, desativar acessos remotos não autorizados, rotar credenciais com privilégios e restabelecer de cópias limpas se necessário.
Na prática de ciber-inteligência e resposta a incidentes, é recomendável integrar regras de detecção que não dependam de assinaturas: alertas ante mudanças em serviços Windows, padrões de reinício automático de processos, elevações de privilégio não justificadas e comunicações de RMM para domínios incomuns ou recém registrados. Implementar segmentação de rede e controles de salto lateral limita a capacidade de expandir o compromisso. Finalmente, a formação contínua de usuários para reconhecer e-mails que impessoam instituições oficiais continua sendo um elo imprescindível.
Esta campanha lembra que o fato de que um binário esteja assinado ou prove de um fornecedor conhecido não o faz benigno por si mesmo quando se instala sem controle. Para aprofundar recomendações e marcos de mitigação sobre abuso de ferramentas de acesso remoto e ameaças relacionadas ao ransomware, podem consultar recursos oficiais como o guia da CISA sobre resposta ao ransomware em resposta ao ransomware https://www.cisa.gov/stopransomware e análise da indústria sobre abuso de RMM nos boletins de fornecedores como Sophos e Red Canary, por exemplo, https://news.sophos.com/ e https://redcanary.com/blog/. Atuar agora, combinando higiene de correio, controle de instalações e detecção baseada em comportamento, é a melhor forma de mitigar esse tipo de ameaças.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...