É irônico: uma ferramenta projetada para auxiliar empresas e profissionais de TI no gerenciamento remoto de sistemas agora virou arma de cibercriminosos. O ConnectWise ScreenConnect, um software legítimo e amplamente usado em operações de suporte remoto, foi explorado em uma recente campanha maliciosa que distribui o malware AsyncRAT.
Neste artigo, vamos detalhar como essa campanha funciona, explicando de forma acessível como os atacantes exploram uma ferramenta confiável para se infiltrar em sistemas, quais etapas compõem a cadeia de infecção e, principalmente, quais medidas podem ser adotadas para reduzir os riscos.
Essa ameaça reflete uma tendência perigosa: o aumento do abuso de ferramentas legítimas em ataques fileless, ou seja, que não deixam rastros de arquivos tradicionais no sistema. Isso torna a detecção mais difícil e exige uma nova mentalidade de defesa por parte de administradores de sistemas e equipes de segurança.
O que é o ConnectWise ScreenConnect e por que ele é um alvo?
O ConnectWise ScreenConnect é uma solução de Remote Monitoring and Management (RMM), usada para acessar e controlar computadores à distância. Com ele, técnicos de suporte podem resolver problemas, instalar atualizações e monitorar o desempenho dos dispositivos de forma remota.
Por padrão, esse tipo de ferramenta já possui altos privilégios no sistema, além de ser considerada confiável por muitos mecanismos de segurança. Isso a torna um alvo extremamente atrativo para cibercriminosos, pois oferece uma porta de entrada legítima, discreta e poderosa.
Em vez de criar exploits sofisticados, os atacantes podem simplesmente se aproveitar da confiança pré-existente. Uma vez dentro da sessão remota, comandos maliciosos podem ser executados sem levantar suspeitas imediatas.
Anatomia do ataque: A cadeia de infecção do AsyncRAT passo a passo
Acesso inicial: O cavalo de Troia no gerenciamento remoto
O ataque começa com o uso do ScreenConnect para executar comandos diretamente no dispositivo alvo. Essa primeira etapa garante que o atacante tenha um ponto de entrada legítimo e autorizado, sem precisar explorar falhas de software ou engenharia social tradicional.
O carregador ‘fileless’: Usando PowerShell para ficar invisível
Em seguida, os criminosos disparam scripts em VBScript e PowerShell. O objetivo é baixar e executar os componentes do AsyncRAT diretamente na memória do sistema, sem gravar arquivos maliciosos em disco. Essa técnica “sem arquivos” dificulta a detecção por antivírus que dependem de assinaturas estáticas.
Esses scripts atuam como carregadores, estabelecendo a base para que o malware opere sem chamar atenção.
Persistência disfarçada: O falso ‘Skype Updater’
Para garantir que o AsyncRAT continue ativo após reinicializações, os atacantes criam uma tarefa agendada no Windows com o nome de Skype Updater. Esse nome, aparentemente inofensivo e legítimo, mascara a presença do malware e mantém sua persistência no sistema.
Os objetivos do AsyncRAT: Roubo de credenciais e carteiras de criptomoedas
Uma vez ativo, o AsyncRAT habilita diversas funções de espionagem e roubo de informações:
- Keylogging: captura tudo o que o usuário digita, incluindo senhas, conversas e dados sensíveis.
- Roubo de senhas salvas em navegadores: coleta credenciais armazenadas em navegadores como Chrome, Firefox e Edge.
- Ataque a carteiras de criptomoedas: procura extensões e aplicativos de carteiras digitais para capturar chaves privadas e dados de acesso.
- Comunicação com servidor C2: envia as informações roubadas para um servidor de Comando e Controle (C2) e aguarda novas instruções, o que permite o controle remoto contínuo da máquina infectada.
Esse conjunto de funcionalidades faz do AsyncRAT uma ferramenta extremamente perigosa, especialmente em ambientes corporativos que lidam com dados confidenciais ou transações financeiras.
Como proteger seus sistemas contra este tipo de ameaça
Embora a campanha seja sofisticada, existem medidas práticas que administradores de sistemas e profissionais de TI podem adotar para reduzir os riscos:
Monitoramento rigoroso de ferramentas RMM
Audite regularmente os logs de sessões do ScreenConnect e de outras ferramentas RMM. Sessões inesperadas ou comandos suspeitos devem acender um alerta imediato.
Inspeção de tarefas agendadas
Revise periodicamente as tarefas agendadas no Windows. Itens com nomes suspeitos ou desnecessários podem indicar presença de malware.
Restrição de scripts
Implemente políticas restritivas para execução de PowerShell e VBScript. Configure alertas e monitore scripts que tentem baixar e executar código de fontes externas.
Defesa em profundidade
Aposte em múltiplas camadas de defesa, como EDR (Endpoint Detection and Response), monitoramento de rede e sistemas de detecção de comportamento. Assim, mesmo se um processo legítimo for abusado, será possível identificar atividades anômalas.
Conclusão: A confiança como vetor de ataque
A campanha do AsyncRAT via ScreenConnect mostra como a confiança pode ser explorada como arma. Em vez de depender apenas de malwares sofisticados, os atacantes perceberam que podem usar as próprias ferramentas legítimas das vítimas contra elas.
Para organizações, a lição é clara: não basta confiar em softwares legítimos, é preciso monitorar como eles são usados. Uma auditoria constante e a aplicação de boas práticas de segurança podem reduzir significativamente os riscos.
Profissionais de TI e segurança devem agir agora: revisem permissões, auditem logs e reforcem políticas de execução de scripts. Quanto antes forem aplicadas medidas de defesa, menores serão as chances de que campanhas como essa tenham sucesso.
E mais importante: compartilhe esse conhecimento. Quanto mais administradores estiverem atentos a esse tipo de ataque, menor será o impacto dessa tendência preocupante.
