Campanhas de phishing exploram ferramentas RMM

22/09/2025 mindsecblog Notícias 0

Campanhas de phishing exploram ferramentas RMM para sustentar o acesso remoto

Uma sofisticada operação de phishing na qual invasores implantam ferramentas de monitoramento e gerenciamento remoto (RMM) —ITarian (anteriormente Comodo), PDQ Connect, SimpleHelp e Atera— para obter acesso remoto persistente a sistemas comprometidos.

Ao disfarçar instaladores maliciosos como atualizações legítimas do navegador, convites para reuniões ou festas e formulários governamentais, os adversários exploram a confiança dos usuários’ em softwares de administração de TI comumente usados.

Pesquisadores de segurança da Red Canary Intelligence e caçadores de ameaças Zscaler têm descoberto Phishing baseado em RMM, estabelecendo primeiro uma lista de permissões rigorosa de ferramentas de administração remota sancionadas e comportamentos básicos para cada uma.

Os atacantes centraram esta campanha em quatro iscas distintas de engenharia social. A estratégia falsa de atualização do navegador redireciona os usuários de sites com temas esportivos ou de assistência médica para uma sobreposição que solicita uma atualização “do Chrome”

Atualização falsa do Google Chrome.

Abaixo do iframe em tela cheia encontra-se JavaScript injetado que imprime impressões digitais de navegadores, coleta dados de geolocalização por meio de configurações de idioma e canaliza logs de interação para domínios de comando e controle (C2), como panelswp [.] com e dragonshop [.] cloud.

Depois que as vítimas clicam no botão de atualização, elas baixam o instalador MSI ITarian assinado pela Comodo, que inicia um DicomPortable.exe malicioso e carrega as bibliotecas desonestas Qt5Core.dll ou sciter32.dll para instalar o infostealer HijackLoader ou DeerStealer.

Convites para reuniões imitam Equipes Microsoft ou atualizações do Zoom para remover instaladores do PDQ Connect ou Atera. Essas cargas se disfarçam de software de reunião legítimo com nomes de arquivo como MicrosoftTeams.msi.

Os invasores exploram o armazenamento de objetos do Cloudflare R2 —usando URLs no formato pub-<32-character>.r2.dev— para hospedar instaladores do Atera, uma tática clássica de viver de serviços confiáveis.

Após a execução, o processo AteraAgent registra um parâmetro IntegratorLogin falso com contas de e-mail controladas pelo adversário, expondo inquilinos não autorizados a comandos remotos.

As iscas Party e-invite distribuem arquivos MSI rotulados como “Party Card Viewer” ou “E-Invite”, implantando PDQ Connect ou Atera por meio de e-mails de phishing.

O SimpleHelp surge por meio de uma carga útil einvite.exe do go-envitelabel[.]com e instala prontamente o ConnectWise Conexão de tela assinado com um certificado revogado.

Páginas com temas de formulários governamentais que se passam por IRS W-9s ou declarações de Previdência Social fornecem instaladores PDQ Connect ou SimpleHelp, alguns dos quais se encadeiam a ferramentas RMM adicionais por meio de executáveis secundários.

Os domínios de phishing incluem onlinebazar[.]us e statementsonlineviewer[.]com, muitas vezes hospedando painéis falsos do IRS.

Estabelecendo Persistência

Os adversários frequentemente implantam duas ferramentas RMM em rápida sucessão para garantir caminhos de acesso redundantes. A primeira ferramenta implanta a funcionalidade principal de acesso remoto; a segunda geralmente executa roubo de credenciais ou cargas úteis de reconhecimento.

A persistência é obtida modificando as chaves de execução do registro para iniciar automaticamente binários RMM renomeados, como RmmService.exe ou DicomPortable.exe, de diretórios não padrão.

Os caçadores de ameaças observam o uso de análises de processos para identificar o uso malicioso de RMM, por exemplo, sinalizando processos chamados pdq-connect-agent.exe ou detectando invocações AteraAgent.exe contendo strings “IntegratorLogin” na linha de comando.

A furtividade destas operações reside na sua imitação de operações legítimas de TI. A atividade de endpoint aparece como tarefas administrativas de rotina, enquanto as conexões de rede com domínios C2 se misturam com o tráfego de serviço legítimo.

Exfiltração de dados.

Escalador Z também observou canais da API do Telegram Bot abusados para exfiltração e coordenação C2, ressaltando o uso criativo indevido de plataformas confiáveis.

Mitigações

O monitoramento de binários RMM recém-instalados em diretórios inesperados, parâmetros de linha de comando inesperados ou downloads MSI de domínios não reconhecidos pode revelar atividades maliciosas precocemente. Isolamento do navegador e filtragem de saída de rede expandida —particularmente para downloads de arquivos de Explosão de nuvens R2 e outros serviços LOTS—reduzem ainda mais a exposição.

Os domínios C2 incluídos panelswp[.]com, dragonshop[.]cloud, e abounour[.]com. Estruturalmente, eles eram quase idênticos e apresentavam um painel de login do WP-Panel.

Página de login do WP-Panel.

Investir em sensores robustos de detecção e resposta de endpoint (EDR) melhora a visibilidade das criações de processos, gravações de arquivos e modificações de registro indicativas de sideloading RMM.

Combinado com logs de DNS e proxy para sinalizar comunicações com domínios anômalos ou recém-registrados —especialmente TLDs baratos como .pro, .shop ou .top—, as equipes de segurança podem colocar hosts comprometidos em quarentena antes da disseminação lateral ou implantação de ransomware.

Ao entender essas técnicas de phishing e incorporar análises de detecção precisas em operações de segurança, os defensores podem virar o jogo contra adversários que usam ferramentas RMM como armas para acesso furtivo e persistente.

A busca contínua por ameaças, listas de permissões validadas e controles de rede em camadas continuam sendo essenciais para interromper essas campanhas antes que estruturas de administração remota se tornem gateways de ransomware ou exfiltração de dados.