Ataque de phishing contra o AnyDesk utiliza persistência de tarefas agendadas e exclusão de artefatos para evitar a detecção.
Uma nova campanha de phishing está transformando uma ferramenta de acesso remoto confiável em uma porta dos fundos permanente para espionagem.
Os atacantes se escondem atrás de faturas falsas para burlar os filtros de e-mail e, uma vez dentro de uma rede, utilizam softwares de TI comuns em vez de malwares personalizados, o que dificulta a detecção da intrusão.
A campanha tem como alvo organizações aeroespaciais e de aviação russas, utilizando como isca uma fatura temática.
Em vez de implantar um vírus óbvio, os operadores configuram silenciosamente o AnyDesk para acesso remoto não supervisionado e, em seguida, apagam seus rastros. O objetivo parece ser o controle silencioso e de longo prazo das máquinas infectadas.
Analistas da Seqrite identificaram e documentaram essa atividade, rastreando como um único anexo de e-mail leva a uma ferramenta de acesso remoto totalmente configurada e a um sistema limpo.
A pesquisa deles mostra uma cadeia que começa com um arquivo protegido por senha e termina com a persistência de tarefas agendadas e a exclusão de arquivos remanescentes.
Em um relatório compartilhado com o Cyber Security News (CSN), a Seqrite afirmou que o e-mail se faz passar por um instituto de pesquisa federal russo real, ligado a trabalhos aeroespaciais, e foi enviado de um domínio registrado recentemente para imitar a organização genuína.
Cadeia de Infecção (Fonte – Seqrite)
A mensagem é endereçada a destinatários não divulgados, em vez de um contato específico, o que sugere que foi enviada a vários alvos simultaneamente, um padrão que aponta para um esforço mais amplo de coleta de informações.
Pesquisadores observam que as táticas se assemelham às de um grupo de ameaças conhecido como Rare Werewolf, também chamado de Librarian Ghouls, que tem como alvo organizações industriais, de engenharia e aeroespaciais na Rússia, Bielorrússia e Cazaquistão.
O ataque de phishing contra o AnyDesk utiliza a persistência de tarefas agendadas e a exclusão de artefatos.
O ataque começa com um e-mail contendo um arquivo protegido por senha, identificado como uma fatura, com a senha inserida no corpo da mensagem para que as vítimas possam abri-lo sem que os scanners consigam inspecionar o conteúdo.
E-mail de phishing com arquivo protegido por senha (Fonte – Seqrite)
Dentro do programa, encontra-se um instalador criado com uma ferramenta de empacotamento legítima, que instala arquivos em uma pasta oculta enquanto exibe um PDF falso para manter a ilusão de uma fatura genuína.
Uma série de arquivos em lote são executados um após o outro, primeiro acessando um servidor remoto para baixar um segundo arquivo protegido por senha contendo a carga útil real.
Esse arquivo descompacta uma cópia portátil do AnyDesk, uma ferramenta de linha de comando para envio de e-mails, um utilitário de compressão e um pequeno programa chamado Tray Minimizer, que oculta as janelas de aplicativos do usuário.
O script faz uma pausa de cerca de um minuto, provavelmente para ultrapassar as verificações automatizadas do sandbox. Em seguida, configura o AnyDesk com uma senha predefinida para que o invasor possa se conectar sem que as solicitações apareçam na tela e, silenciosamente, inicia a ferramenta em segundo plano.
Após a execução do AnyDesk, o script compacta seus arquivos de configuração, configurações de conexão e certificados em um novo arquivo protegido por senha.
Esse arquivo é enviado por e-mail através de um utilitário de e-mail SMTP legítimo para um endereço controlado pelo atacante, fornecendo aos operadores o que eles precisam para gerenciar a sessão posteriormente.
Uma tarefa agendada, disfarçada de processo de atualização de rotina, garante que a ferramenta oculta na bandeja do sistema, e por extensão o AnyDesk, seja reiniciada sempre que a vítima fizer login.
Apagando rastros e permanecendo oculto.
Após a persistência ser estabelecida, o script malicioso exclui os arquivos de comando, registros de texto, arquivos compactados, executáveis e o PDF de isca usados durante a configuração.
Essa limpeza remove a maior parte das evidências forenses em que um investigador se basearia, tornando a intrusão mais difícil de reconstruir posteriormente.
Usar o Tray Minimizer para manter o AnyDesk fora da vista é um truque de evasão eficaz, já que a própria ferramenta de acesso remoto é um software legítimo que muitos produtos de segurança não detectam.
Dados extraídos do arquivo RAR (Fonte – Seqrite)
Combinando a persistência de tarefas agendadas e a exclusão de arquivos, a abordagem prioriza a integração à atividade normal em vez da implantação de código obviamente malicioso.
Os pesquisadores não observaram mineração de criptomoedas nesta amostra específica, embora campanhas relacionadas do mesmo agente tenham implantado ferramentas de mineração após estabelecerem acesso persistente. O ganho financeiro pode continuar sendo um objetivo secundário, uma vez que o controle remoto esteja garantido.
Organizações dos setores aeroespacial e industrial relacionado devem tratar e-mails de faturas inesperados com cautela, especialmente aqueles provenientes de domínios recém-registrados.
Monitorar tarefas agendadas não autorizadas e instalações inesperadas de acesso remoto pode ajudar a detectar essa atividade precocemente. Restringir o tráfego de e-mail de saída a servidores aprovados também pode limitar a exfiltração de dados roubados.
Como as ferramentas utilizadas são inteiramente compostas por utilitários legítimos e amplamente usados, a detecção baseada em assinaturas pode ter dificuldades em identificar a intrusão.
O monitoramento comportamental focado na criação de tarefas agendadas e na exfiltração de arquivos oferece um caminho mais confiável para detectar essa atividade.
Indicadores de Compromisso (IoCs):-
| Tipo | Indicador | Descrição |
|---|---|---|
| Hash SHA256 | 47854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4 | Componente executável/dropper malicioso |
| Hash SHA256 | 12648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33 | Hash do arquivo de carga útil relacionado |
| Hash SHA256 | f57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6bae | Hash do arquivo de carga útil relacionado |
| Hash SHA256 | 0dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0 | Hash do arquivo de carga útil relacionado |
| Endereço IP | 198.54.120[.]13 | Infraestrutura do atacante |
| Endereço IP | 194.87.57[.]81 | Infraestrutura do atacante |
| Endereço IP | 2.23.88[.]201 | Infraestrutura do atacante |
| Endereço IP | 109.106.178.14 | Infraestrutura do atacante |
| Domínio | aviatronika[.]online | Domínio falso semelhante |
| Domínio | vniir-avia[.]espaço | Domínio falsificado se passando pelo instituto VNIIR, usado para enviar e-mail de phishing. |
| Domínio | fgub-vniir[.]espaço | Domínio falso semelhante |
| Domínio | vniir-info[.]espaço | Domínio falso semelhante |
| Domínio | nova-stream[.]site | Domínio falso semelhante |
Nota: Os endereços IP e domínios são intencionalmente desativados (por exemplo, `example.com` [.]) para evitar resolução acidental ou criação de hiperlinks. Reative-os somente em plataformas de inteligência contra ameaças controladas, como MISP, VirusTotal ou seu SIEM .
Fonte: Cyber Security News Tushar Subhra Dutta
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Pessoas estão armazenando grandes volumes de dados em smartphones
- Estado do Ransomware em 2026
- CISA alerta para que correção de falhas do SharePoint
- Microsoft corrige várias falhas do RDP
- Hackers abusam de códigos OAuth e cadastro do Entra IDs
- IA amplia pressão sobre equipes de segurança e vulnerabilidades críticas dobram
- A era do dashboard perfeito acabou
- Por que a transformação digital falha quando as pessoas não mudam o jeito de trabalhar
- IA agêntica: três prioridades inegociáveis para CISOs
- Brasil ultrapassa 4 mil ciberataques semanais por organização
- Shadow AI avança nas empresas e expõe novo desafio de governança corporativa
- Dados de 500mil pacientes vaza na Organização Social ISAC
.webp)
.webp)
.webp)

Be the first to comment