Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Phishing Campanha de phishing VENENOMOUS#HELPER

Campanha de phishing VENENOMOUS#HELPER

Por Mezo em Phishing
Traduzir Para:

Uma sofisticada campanha de phishing, identificada como VENOMOUS#HELPER, está ativa desde pelo menos abril de 2025, visando múltiplos vetores de ataque por meio do abuso de ferramentas legítimas de Monitoramento e Gerenciamento Remoto (RMM). Mais de 80 organizações, predominantemente nos Estados Unidos, foram afetadas. A atividade se sobrepõe a clusters previamente documentados, conhecidos como STAC6405. Embora a atribuição permaneça incerta, os padrões operacionais se alinham fortemente com grupos de acesso inicial (IABs) ou precursores de ransomware motivados por interesses financeiros, que buscam estabelecer bases para exploração posterior.

Vivendo às custas de ferramentas confiáveis: o abuso de softwares RMM legítimos

Em vez de implantar software explicitamente malicioso, os atacantes utilizam versões personalizadas de ferramentas legítimas, como o SimpleHelp e o ConnectWise ScreenConnect. Como esses aplicativos são comumente usados em ambientes corporativos, sua presença muitas vezes burla os controles de segurança tradicionais e evita levantar suspeitas.

A implantação simultânea de ambas as ferramentas é uma tática deliberada. Ao estabelecer canais duplos de acesso remoto, os atacantes garantem a resiliência operacional. Se uma conexão for detectada e neutralizada, o segundo canal permanece ativo, permitindo o acesso não autorizado contínuo sem interrupção.

Ponto de entrada de phishing: Engenharia social com disfarce confiável

A cadeia de ataque começa com um e-mail de phishing cuidadosamente elaborado, que se faz passar pela Administração da Segurança Social dos EUA (SSA). A mensagem insta os destinatários a verificarem o seu endereço de e-mail e a descarregarem um suposto extrato da SSA através de uma ligação incorporada.

Notavelmente, o link direciona as vítimas para um site legítimo, porém comprometido, de uma empresa mexicana, demonstrando um esforço intencional para burlar filtros de spam e defesas baseadas em reputação. A partir daí, as vítimas são redirecionadas para um segundo domínio controlado pelo atacante, que hospeda o código malicioso disfarçado de documento legítimo.

Entrega e persistência de carga útil: Engenharia de acesso de longo prazo

Após o download, o payload, empacotado como um executável do Windows, inicia a instalação da ferramenta SimpleHelp RMM. Acredita-se que os atacantes tenham comprometido uma conta cPanel no servidor de hospedagem para instalar o arquivo malicioso.

Após a execução, o malware estabelece persistência e resiliência por meio de diversos mecanismos:

  • Instalação como um serviço do Windows com recursos de persistência em Modo de Segurança
  • Implantação de um mecanismo de vigilância com capacidade de autorrecuperação que reinicia automaticamente o serviço caso este seja encerrado.
  • Enumeração regular dos produtos de segurança instalados através do namespace WMI root\SecurityCenter2 a cada 67 segundos.
  • Monitoramento contínuo da atividade do usuário em intervalos de 23 segundos.

Essas técnicas garantem que a presença maliciosa permaneça ativa, adaptável e difícil de erradicar.

Escalada de privilégios e controle total do sistema

Para obter controle interativo completo sobre o sistema comprometido, o cliente SimpleHelp eleva seus privilégios adquirindo o privilégio SeDebugPrivilege por meio do AdjustTokenPrivileges. Além disso, um componente legítimo do software, 'elev_win.exe', é utilizado para obter acesso em nível de SISTEMA.

Esse nível de privilégio elevado permite que os invasores:

  • Monitorar e capturar a atividade da tela
  • Injetar sequências de teclas em tempo real
  • Aceder a recursos sensíveis dentro do contexto do utilizador.

Essas funcionalidades concedem, na prática, controle total sobre o ambiente da vítima sem acionar alertas de segurança convencionais.

Estratégia de Acesso Redundante: ScreenConnect como Canal de Contingência

Após o estabelecimento do canal de acesso primário, os atacantes implantam o ConnectWise ScreenConnect como um mecanismo secundário de acesso remoto. Isso garante a persistência mesmo se a conexão inicial do SimpleHelp for identificada e bloqueada.

O uso de múltiplas ferramentas legítimas evidencia uma estratégia de acesso em camadas, concebida para durabilidade e discrição, o que complica os esforços de detecção e resposta a incidentes.

Impacto operacional: Controle silencioso e discreto

A versão implantada do SimpleHelp (5.0.1) oferece um conjunto robusto de recursos de administração remota. Uma vez incorporado ao ambiente, os invasores obtêm a capacidade de operar livremente e discretamente. A organização comprometida fica exposta à exploração contínua, já que os invasores podem reentrar no sistema quando quiserem.

O ambiente se torna efetivamente um ativo controlado, onde os adversários podem executar comandos silenciosamente, transferir arquivos em ambas as direções e se movimentar lateralmente pela rede. Como toda a atividade parece originar-se de software legitimamente assinado, produzido por um fornecedor britânico de boa reputação, os antivírus tradicionais e as defesas baseadas em assinaturas geralmente falham em detectar a intrusão.

Conclusão: Um Plano para Intrusões Modernas

VENOMOUS#HELPER exemplifica a crescente tendência de explorar ferramentas administrativas legítimas para fins maliciosos. Combinando engenharia social, abuso de software confiável e mecanismos de acesso redundantes, a campanha alcança persistência, discrição e flexibilidade operacional. Essa abordagem ressalta a necessidade urgente de monitoramento comportamental, princípios de confiança zero e maior rigor na análise do uso de ferramentas legítimas em ambientes corporativos.

 

Tendendo

Mais visto

Carregando...