Pesquisadores de cibersegurança identificaram uma tática preocupante: atores do grupo atrás do ransomware conhecido como Crazy estão aproveitando ferramentas legítimas de supervisão e suporte remoto para se defender em redes corporativas, passar despercebidos e preparar o lançamento da criptografia. Esta estratégia, descrita em detalhes por Huntress, combina software de monitoramento de funcionários com clientes de acesso remoto para criar uma dupla via de acesso que a vítima pode facilmente confundir com atividade administrativa normal.
Em vários incidentes analisados, os atacantes lançaram o produto comercial Net Monitor for Employees Professional instalando o agente pelo instalador do Windows (msiexec.exe) e, em alguns casos, descarregando componentes diretamente da web do desenvolvedor. Uma vez ativo, esse agente permite ver o ecrã em tempo real, mover arquivos e executar comandos remotos, o que proporciona aos intrusos um controle interativo muito semelhante ao de um administrador legítimo. O uso do instalador oficial compôs a detecção, porque os sinais se assemelham a instalações válidas.
Como redundância, os operadores também introduziram o cliente da ferramenta SimpleHelp através de comandos do PowerShell, por vezes renomeando o binário para que parecesse parte do Visual Studio (por exemplo, vhost.exe) ou mesmo como um serviço do OneDrive dentro do ProgramData (por exemplo, C:\\ProgramData\\OneDriveSvc\\OneDriveSvc.exe). Executado esse payload alternativo, os atacantes conservavam acesso mesmo se o agente de monitoramento fosse eliminado.
O registro das intrusões mostra também tentativas de elevar privilégios locais (por exemplo, ativando a conta de administrador com o comando net user administrator /active:yes) e ações de enfraquecimento do antivírus nativo, com tentativas de parar e apagar serviços associados ao Windows Defender. Também foram detectadas regras de alerta configuradas no SimpleHelp para avisar sobre atividade relacionada com criptomoedas (palavras-chave como metamask, exodus, wallet, etherscan, bscscan, binance, entre outras) e para monitorar conexões através de ferramentas de acesso remoto (RDP, AnyDesk, TeamViewer, VNC). Esses sinais indicam que os atacantes não só procuravam implantar ransomware, mas também identificar e exfiltrar criptoativos se surgisse a oportunidade.
O emprego simultâneo de várias ferramentas remotas dá aos intrusos tolerância a falhas: se uma porta de acesso for descoberta ou bloqueada, outra ainda está disponível. Huntress observa padrões técnicos partilhados entre os incidentes, como o mesmo nome de arquivo (vhost.exe) e C2 sobreposição, sugerindo que um único operador ou grupo reutilizou componentes em diferentes vítimas. O resultado concreto foi pelo menos uma infecção com o ransomware Crazy, embora as táticas possam ser aplicadas em campanhas mais amplas.
Este tipo de abuso não é excepcional: os criminosos informáticos têm tempo a aproveitar ferramentas legítimas de administração remota porque geram menos alarme e são mais difíceis de distinguir do tráfego administrativo real. O uso de credenciais comprometidas em VPNs SSL foi o ponto de entrada nos casos examinados, o que sublinha a importância de garantir acessos remotos com controles robustos.
O que as organizações podem fazer para reduzir este risco? Em primeiro lugar, aplicar autenticação multifator (MFA) em todos os serviços de acesso remoto e VPNs reduz drasticamente a probabilidade de que credenciais roubadas permitam um compromisso inicial; é uma recomendação recorrente em guias de cibersegurança como a iniciativa Stop Ransomware da Agência de Segurança Cibernética e Infraestrutura de EE. EUA (CISA) https://www.cisa.gov/stopransomware.
Do ponto de vista técnico, é conveniente habilitar controlos que dificultem a instalação silenciosa de software e a execução de programas não autorizados: mecanismos de controle de aplicativos (AppLocker ou Windows Defender Application Control), proteção contra manipulação do antivírus, e políticas que restrinjam o uso de msiexec e a descarga/extração por PowerShell sem supervisão. A Microsoft oferece documentação prática sobre proteção e registro de PowerShell, bem como sobre a configuração da proteção contra manipulações na Microsoft Defender https://learn.microsoft.com.
A telemetria e a monitorização são outra linha de defesa crítica: os equipamentos de segurança devem auditar instalações de agentes remotos e suportes (por exemplo, pesquisas proativas de processos e rotas suspeitas como ProgramData\\OneDriveSvc\\OneDriveSvc.exe ou executáveis com nomes inesperados semelhantes a vhost.exe), inspeccionar logs por execuções de msiexec e downloads via PowerShell, e gerar alertas para mudanças em configurações de segurança ou atividade anormais em contas privilegiadas. As soluções EDR bem configuradas podem detectar tanto comportamentos como indicadores de compromisso nestas campanhas.
Não menos importante é a segmentação de rede e a limitação de privilégios: separar os ativos críticos, evitar o uso estendido de contas com privilégios locais persistentes e rever regularmente os acessos administrativos. Manter cópias de segurança regularizadas, isoladas e verificadas permite recuperar operações após um ataque por ransomware sem sucumbir à extorsão.
Para entender melhor as ferramentas que os atacantes estão explodindo, você pode consultar o site do fornecedor SimpleHelp https://www.simplehelp.com/ e a página do produto Net Monitor for Employees do desenvolvedor https://www.netmonitorsoft.com/. A pesquisa de Huntress recolhe detalhes técnicos e exemplos de telemetria que podem ajudar equipamentos de detecção a buscar padrões semelhantes em seus ambientes: Relatório de Huntress.
Em suma, o abuso de software legítimo obriga a uma mudança de mentalidade: Já não basta bloquear ferramentas "maliciosas" em listas negras; é necessário monitorar o uso legítimo de ferramentas administrativas, endurecer os controles de acesso e aumentar a visibilidade para detectar quando essas utilidades são usadas para fins maliciosos. A combinação de medidas preventivas — MFA, controle de aplicações, segmentação e cópias de segurança — com capacidade de detecção e resposta rápida é a melhor defesa contra essas operações cada vez mais sigilosas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...