Uma Campanha de Phishing que se Esconde à Vista de Todos

Uma sofisticada campanha de phishing conhecida como VENOMOUS#HELPER comprometeu mais de 80 organizações nos Estados Unidos, e o que a torna particularmente alarmante não são as ferramentas que os atacantes desenvolveram, mas sim as que tomaram emprestado. A campanha explora softwares legítimos de Monitoramento e Gerenciamento Remoto (RMM), especificamente o SimpleHelp e o ScreenConnect, para estabelecer acesso remoto persistente dentro das redes das vítimas.

As ferramentas RMM são amplamente utilizadas por departamentos de TI e provedores de serviços gerenciados para diagnosticar, atualizar e gerenciar endpoints remotamente. Por serem confiáveis pelos filtros de segurança corporativos, representam um veículo atraente para atacantes que desejam se misturar ao tráfego normal de rede. O VENOMOUS#HELPER aproveita ao máximo essa confiança.

A cadeia de ataque começa com e-mails de phishing que direcionam as vítimas a sites empresariais comprometidos. O uso de domínios reais, anteriormente legítimos, ajuda a campanha a contornar filtros de segurança de e-mail e verificações de reputação web que sinalizariam sites desconhecidos ou recém-registrados. Assim que uma vítima interage com o conteúdo malicioso, o software RMM é instalado silenciosamente, concedendo aos atacantes uma posição persistente que pode sobreviver a reinicializações, varreduras de endpoints e até mesmo a algumas implantações de ferramentas de segurança.

Como o Software RMM se Torna uma Vulnerabilidade

O problema central exposto pelo VENOMOUS#HELPER não é que o SimpleHelp ou o ScreenConnect sejam inerentemente inseguros. São produtos respeitáveis usados diariamente por milhares de equipes de TI legítimas. O problema é que os atacantes descobriram como transformar em arma os próprios recursos que tornam essas ferramentas úteis: instalação leve, conectividade persistente e a capacidade de se mover lateralmente pela rede.

Uma vez instalados, os agentes RMM normalmente se comunicam de forma de saída por meio de portas web padrão, que muitos firewalls permitem por padrão. Isso significa que um atacante controlando uma sessão RMM não autorizada pode se mover lateralmente para sistemas adjacentes, exfiltrar dados ou implantar malwares adicionais — tudo enquanto aparenta ser uma atividade rotineira de TI nos painéis de monitoramento de rede.

O uso de sites de terceiros comprometidos como mecanismo de entrega adiciona mais uma camada de dificuldade para os defensores. Os indicadores tradicionais de comprometimento — como sinalizar domínios desconhecidos ou executáveis não assinados — são menos eficazes quando a carga maliciosa chega de um site que as ferramentas de segurança já classificaram como inofensivo.

O que Isso Significa Para Você

Para pessoas físicas, especialmente aquelas que trabalham remotamente ou em ambientes híbridos, esta campanha é um lembrete de que o software usado pelo seu empregador para gerenciar seu dispositivo de trabalho carrega um risco real se não for devidamente controlado. As ferramentas RMM normalmente operam com privilégios elevados. Se um atacante obtiver controle desse canal, terá amplo acesso à sua máquina e, potencialmente, aos arquivos e credenciais nela contidos.

Isso não é motivo para pânico, mas é motivo para fazer perguntas. Os funcionários têm interesse legítimo em saber quais softwares de acesso remoto estão instalados em seus dispositivos, quem tem a capacidade de iniciar uma sessão e se essas sessões são registradas e auditáveis. Empregadores responsáveis devem ser capazes de responder claramente a todas as três perguntas.

Para as organizações, o VENOMOUS#HELPER ilustra por que os princípios de zero-trust importam na prática. Uma arquitetura de zero-trust não pressupõe que o tráfego originado de uma ferramenta confiável ou de um endereço IP conhecido seja automaticamente seguro. Cada sessão, cada solicitação de acesso e cada conexão lateral é verificada. Combinada com autenticação multifator e segmentação de rede, essa abordagem limita significativamente o que um atacante pode fazer mesmo após ter obtido uma posição inicial.

O uso de VPN dentro de uma rede corporativa também desempenha um papel aqui. Túneis criptografados entre trabalhadores remotos e recursos internos reduzem a exposição do tráfego sensível à interceptação e criam um ponto de verificação de autenticação consistente que atacantes baseados em RMM precisariam superar.

Medidas Práticas a Tomar

Seja você um funcionário individual ou responsável pela segurança organizacional, há passos concretos que vale a pena adotar em resposta ao que o VENOMOUS#HELPER revela.

Para pessoas físicas:

  • Pergunte ao seu departamento de TI quais softwares RMM estão instalados nos seus dispositivos de trabalho e solicite uma política escrita sobre como as sessões remotas são iniciadas e registradas.
  • Seja cauteloso com e-mails que direcionam você a sites externos, mesmo aqueles que parecem familiares ou profissionais.
  • Relate qualquer coisa que instale software ou solicite permissões elevadas sem uma solicitação prévia clara da sua parte.

Para organizações:

  • Audite todas as ferramentas RMM implantadas e garanta que apenas versões autorizadas com configurações conhecidas estejam presentes nos endpoints.
  • Restrinja a comunicação do software RMM com qualquer servidor fora da infraestrutura aprovada do seu fornecedor.
  • Implemente listas de permissão de aplicativos para impedir que agentes RMM não autorizados sejam executados.
  • Trate as simulações de phishing como um programa contínuo, não como um exercício único, especialmente para funcionários que trabalham com fornecedores externos.

O VENOMOUS#HELPER é um estudo de caso útil sobre como os atacantes se adaptam ao ambiente moderno de TI. Em vez de combater diretamente as ferramentas de segurança, eles encontram maneiras de usar softwares confiáveis como cobertura. A melhor defesa é uma defesa em camadas: usuários céticos, políticas de rede rígidas e arquiteturas de segurança que pressupõem que o comprometimento é sempre possível.