As ameaças cibernéticas têm evoluído de forma acelerada, com atacantes cada vez mais criativos em burlar medidas de segurança e explorar novas vulnerabilidades. Nesse cenário, pesquisadores da Tempest, empresa especializada em cibersegurança do grupo Embraer, identificaram um aumento significativo no uso de softwares de Monitoramento e Gerenciamento Remoto (RMM) em campanhas cibernéticas, especialmente direcionadas ao Brasil.
Essas ferramentas, originalmente desenvolvidas para equipes de TI automatizarem tarefas administrativas e resolverem problemas remotamente, estão sendo subvertidas por cibercriminosos para controlar dispositivos comprometidos, acessar sistemas, executar comandos, coletar dados e até mesmo movimentar-se lateralmente dentro das redes das vítimas.
A preferência por RMMs deve-se, em parte, ao nível reduzido de detecção por soluções de segurança convencionais e à possibilidade de criar instaladores legítimos personalizados que se conectam ao painel de controle dos atacantes sem necessidade de interação adicional da vítima. Além disso, esses softwares permitem reduzir as etapas de infecção e facilitam o trabalho dos invasores, eliminando a necessidade de desenvolver malwares personalizados.
Neste processo, a empresa identificou campanhas de spam disseminando instaladores de ferramentas RMM como PDQ Connect, Atera e ScreenConnect. Essas campanhas utilizavam URLs maliciosas disfarçadas de consultas de notas fiscais, induzindo as vítimas a baixar e executar instaladores personalizados dessas ferramentas. Os atacantes empregavam arquivos de texto contendo informações de empresas e seus CNPJs para gerar uma falsa sensação de confiança nas vítimas, direcionando as campanhas a organizações específicas.
