Pesquisadores em cibersegurança divulgaram detalhes de uma nova campanha que utiliza duas frentes de ataque para obter acesso remoto persistente a sistemas comprometidos.
Os invasores se aproveitam de credenciais roubadas para instalar software legítimo de Remote Monitoring and Management (RMM), contornando as defesas tradicionais.
Segundo Jeewan Singh Jalal, Prabhakaran Ravichandhiran e Anand Bodke, do KnowBe4 Threat Labs, “em vez de usar malwares customizados, os atacantes exploram ferramentas de TI confiáveis pelos administradores, transformando softwares legítimos de RMM em backdoors persistentes após roubar uma espécie de ‘chave mestra’ do sistema”.
A ação ocorre em duas etapas distintas.
Primeiramente, os criminosos enviam e-mails falsos com convites supostamente emitidos pela plataforma legítima Greenvelope.
Esses e-mails induzem as vítimas a clicarem em URLs de phishing que coletam seus dados de login em serviços como Microsoft Outlook, Yahoo! e AOL.com.
Com essas credenciais em mãos, o ataque avança para a segunda fase.
Nesta etapa, o invasor se registra no serviço LogMeIn com os e-mails comprometidos e gera tokens de acesso para a ferramenta RMM.
Em seguida, um executável chamado “GreenVelopeCard.exe”, assinado digitalmente com certificado válido, é implantado para instalar silenciosamente o LogMeIn Resolve (antigo GoTo Resolve).
Esse programa conecta-se a um endereço controlado pelo atacante, sem o conhecimento da vítima.
Com o RMM ativo, os adversários configuram o serviço para rodar com permissões elevadas no Windows e criam tarefas agendadas ocultas.
Essas tarefas garantem que o software seja executado automaticamente, mesmo que o usuário tente encerrá-lo manualmente.
Para mitigar esse tipo de ameaça, recomenda-se que as organizações monitorem a instalação e o uso não autorizados de ferramentas RMM, reforcem a segurança contra tentativas de phishing e controlem rigorosamente as credenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...