2026-05-04 00:00
← VoltarUma campanha ativa de phishing foi observada visando vários vetores desde pelo menos abril de 2025 com software legítimo de monitoramento e gerenciamento remoto (RMM) como forma de estabelecer acesso remoto persistente a hosts comprometidos. A atividade, codinomeVENOMOUS#HELPER, impactou mais de 80 organizações, a maioria das quais está nos EUA, de acordo com a Securonix. Ele compartilha sobreposições com clusters anteriormente rastreados por Red Canary e Sophos, o último dos quais lhe deu o apelido de STAC6405. Embora não esteja claro quem está por trás da campanha, a empresa de segurança cibernética disse que ela se alinha com um Initial Access Broker (IAB) com motivação financeira ou com uma operação precursora de ransomware. “Neste caso, RMMs SimpleHelp e ScreenConnect personalizados são usados para contornar as defesas, pois são legitimamente instalados pela vítima desavisada”, disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com o The Hacker News. Deixando de lado o fato de que o uso de ferramentas RMM legítimas pode evitar a detecção, a implantação do SimpleHelp e do ScreenConnect indica uma tentativa de criar uma “arquitetura redundante de acesso de canal duplo” que permite operações contínuas mesmo quando qualquer um deles é detectado e bloqueado. Tudo começa com um e-mail de phishing que se faz passar pela Administração da Segurança Social dos EUA (SSA), onde o destinatário é instruído a verificar o seu...
Uma campanha ativa de phishing foi observada visando vários vetores desde pelo menos abril de 2025 com software legítimo de monitoramento e gerenciamento remoto (RMM) como forma de estabelecer acesso remoto persistente a hosts comprometidos. A atividade, codinomeVENOMOUS#HELPER, impactou mais de 80 organizações, a maioria das quais está nos EUA, de acordo com a Securonix. Ele compartilha sobreposições com clusters anteriormente rastreados por Red Canary e Sophos, o último dos quais lhe deu o apelido de STAC6405. Embora não esteja claro quem está por trás da campanha, a empresa de segurança cibernética disse que ela se alinha com um Initial Access Broker (IAB) com motivação financeira ou com uma operação precursora de ransomware. “Neste caso, RMMs SimpleHelp e ScreenConnect personalizados são usados para contornar as defesas, pois são legitimamente instalados pela vítima desavisada”, disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com o The Hacker News. Deixando de lado o fato de que o uso de ferramentas RMM legítimas pode evitar a detecção, a implantação do SimpleHelp e do ScreenConnect indica uma tentativa de criar uma “arquitetura redundante de acesso de canal duplo” que permite operações contínuas mesmo quando qualquer um deles é detectado e bloqueado. Tudo começa com um e-mail de phishing que se faz passar pela Administração da Segurança Social dos EUA (SSA), onde o destinatário é instruído a verificar o seu endereço de e-mail e a descarregar uma suposta declaração da SSA clicando num link incorporado na mensagem. O link aponta para um site comercial mexicano legítimo, mas comprometido ("gruta.com[.]mx"), indicando uma estratégia deliberada para evitar filtros de spam de e-mail.
A “declaração SSA” é então baixada de um segundo domínio controlado pelo invasor (“server.cubatiendaalimentos.com[.]mx”), um executável responsável por entregar a ferramenta SimpleHelp RMM. Acredita-se que o invasor obteve acesso a uma única conta de usuário cPanel no servidor de hospedagem legítimo para preparar o binário. Assim que a vítima abre o executável do Windows empacotado pelo JWrapper, pensando que é um documento, o malware se instala como um serviço do Windows com persistência no Modo de Segurança, garante que esteja sendo executado por meio de um "watchdog de autocura" que o reinicia automaticamente quando morto e enumera periodicamente os produtos de segurança registrados usando o namespace WMI root\SecurityCenter2 a cada 67 segundos e pesquisa a presença do usuário a cada 23 segundos. Para facilitar o acesso totalmente interativo à área de trabalho, o cliente de acesso remoto SimpleHelp adquire SeDebugPrivilege viaAdjustTokenPrivileges, enquanto "elev_win.exe" – um arquivo executável legítimo associado ao software – é usado para obter privilégios de nível de SISTEMA. Isso, por sua vez, permite que o operador leia a tela, insira pressionamentos de teclas e acesse recursos do contexto do usuário. Esse acesso remoto elevado é então usado para baixar e instalar o ConnectWise ScreenConnect, oferecendo um mecanismo de comunicação alternativo se o canal SimpleHelp for desativado. “A versão implantada do SimpleHelp (5.0.1) fornece um conjunto abrangente de recursos de administração remota”, disseram os pesquisadores. “A organização vítima fica em um estado onde o invasor pode retornar a qualquer momento, executar comandos silenciosamente na sessão de desktop do usuário, transferir arquivos bidirecionalmente e migrar para sistemas adjacentes, enquanto antivírus padrão e controles baseados em assinatura não veem nada além de software legitimamente assinado de um fornecedor respeitável do Reino Unido.” Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada.
Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.