A disseminação do malware EtherRAT por meio de ataques de engenharia social mostra que, atualmente, o elo mais explorado pelos criminosos continua sendo o fator humano. Em vez de depender exclusivamente de falhas técnicas, grupos cibercriminosos estão utilizando chamadas de voz e mensagens convincentes para persuadir funcionários a conceder acesso aos seus computadores, comprometendo redes corporativas inteiras.
Pesquisadores da Unit 42, divisão de inteligência de ameaças da Palo Alto Networks, identificaram uma campanha sofisticada que utiliza o Microsoft Teams como principal vetor de ataque. Os criminosos se passam por profissionais do suporte de TI e convencem as vítimas a instalar ferramentas legítimas de acesso remoto. O objetivo final é implantar o malware EtherRAT, um cavalo de Troia multiplataforma capaz de atingir ambientes Windows, Linux e macOS.
A ameaça merece atenção especial porque combina técnicas modernas de vishing, phishing e abuso de softwares legítimos para driblar mecanismos tradicionais de segurança. Independentemente do sistema operacional utilizado, qualquer organização que dependa da confiança entre colaboradores e equipes de TI pode ser alvo dessa campanha.
Como funciona o golpe do falso suporte no Teams
Os pesquisadores observaram uma cadeia de ataque cuidadosamente planejada para aumentar as chances de sucesso. Em vez de tentar instalar diretamente um malware, os criminosos constroem uma relação de confiança antes de assumir o controle do dispositivo.
Essa abordagem torna o ataque muito mais difícil de identificar, principalmente em empresas que utilizam o Microsoft Teams diariamente para comunicação interna e atendimento técnico.

O primeiro contato via phishing e vishing
A campanha normalmente começa com um e-mail aparentemente inofensivo, muitas vezes disfarçado como uma Pesquisa de Funcionários ou outro comunicado corporativo.
Pouco tempo depois, a vítima recebe uma chamada de voz pelo Microsoft Teams, geralmente originada de uma conta externa com aparência profissional, utilizando nomes como “Help Desk”, “IT Support” ou endereços semelhantes a helpdesk@empresa-suporte….
Durante a conversa, os criminosos afirmam que detectaram um problema de segurança, uma infecção ou uma falha de configuração no computador da vítima. Explorando técnicas de vishing e engenharia social, eles criam um senso de urgência para impedir que o usuário questione a legitimidade do contato.
Como muitas empresas permitem chamadas externas pelo Teams, a abordagem parece legítima, principalmente para funcionários menos experientes.
O controle remoto do dispositivo
Após conquistar a confiança da vítima, os invasores solicitam a instalação de softwares legítimos de acesso remoto, como AnyDesk ou HopToDesk.
Essas ferramentas possuem usos totalmente legítimos para suporte técnico, mas acabam sendo exploradas por criminosos justamente porque são conhecidas e frequentemente autorizadas pelas equipes de TI.
Depois que o acesso remoto é concedido, os atacantes passam a controlar o computador da vítima. Nesse momento, podem instalar cargas maliciosas adicionais, coletar credenciais, acessar documentos corporativos e implantar o malware EtherRAT sem despertar suspeitas.
Como o usuário autorizou voluntariamente a conexão, muitas soluções tradicionais de segurança não classificam essa atividade como uma invasão imediata.
O perigo do malware EtherRAT multiplataforma
O malware EtherRAT chama atenção por sua arquitetura moderna e pela flexibilidade oferecida aos operadores da campanha.
Escrito em Node.js, o malware consegue ser executado em diferentes sistemas operacionais praticamente sem necessidade de alterações significativas no código. Isso amplia consideravelmente o alcance dos ataques, permitindo comprometer ambientes híbridos compostos por estações Windows, servidores Linux e dispositivos macOS.
Outro aspecto particularmente preocupante está na infraestrutura de comunicação utilizada pelo malware.
Em vez de depender exclusivamente de servidores tradicionais para localizar seu centro de comando, o malware EtherRAT utiliza contratos inteligentes da blockchain do Ethereum para armazenar ou recuperar informações relacionadas ao servidor de C2 (Command and Control).
Essa estratégia dificulta o bloqueio da infraestrutura pelos defensores, já que parte das informações necessárias para localizar o servidor de comando permanece distribuída em uma rede descentralizada. Além disso, alterações na infraestrutura podem ser realizadas pelos operadores com muito mais flexibilidade.
Uma vez ativo, o malware EtherRAT pode executar comandos remotos, coletar informações do sistema, instalar novos componentes maliciosos e manter persistência no equipamento comprometido, ampliando o risco de movimentação lateral dentro da rede corporativa.
Defesas da Microsoft e como se proteger do malware EtherRAT
Diante do crescimento desse tipo de ataque, a Microsoft vem implementando mecanismos adicionais de proteção no Microsoft Teams.
Entre as medidas anunciadas estão avisos mais claros quando chamadas são originadas de contas externas e mecanismos para manter bots suspeitos ou participantes desconhecidos em uma espécie de sala de espera antes que possam interagir diretamente com os usuários.
Embora essas melhorias representem um avanço importante, nenhuma tecnologia substitui boas práticas de segurança.
Entre as principais recomendações estão:
- Nunca conceda acesso remoto durante chamadas inesperadas.
- Confirme a identidade do suposto técnico utilizando canais oficiais da empresa.
- Desconfie de solicitações urgentes envolvendo instalação de programas.
- Mantenha sistemas operacionais e softwares sempre atualizados.
- Restrinja permissões para instalação de aplicativos sem autorização.
- Implemente autenticação multifator sempre que possível.
- Capacite regularmente os colaboradores sobre engenharia social, phishing e vishing.
- Monitore conexões remotas realizadas por ferramentas como AnyDesk e HopToDesk, principalmente quando iniciadas por usuários comuns.
Empresas que utilizam ambientes mistos com Linux e Windows também devem garantir que políticas de segurança sejam aplicadas de forma uniforme em todos os dispositivos, evitando assumir que apenas máquinas Windows estejam sujeitas a infecções.
Como reduzir o impacto do malware EtherRAT em ambientes corporativos
Além das medidas preventivas, organizações devem investir em uma estratégia de defesa em profundidade.
Isso inclui segmentação de redes, monitoramento contínuo de eventos, detecção de comportamento anômalo, controle rigoroso de acesso remoto e resposta rápida a incidentes.
Treinamentos frequentes também fazem diferença. Quando colaboradores conseguem identificar sinais típicos de engenharia social, como pressão psicológica, urgência exagerada ou pedidos incomuns de acesso remoto, a probabilidade de sucesso desse tipo de campanha diminui significativamente.
Da mesma forma, equipes de TI devem estabelecer procedimentos claros para contatos de suporte, evitando que funcionários aceitem solicitações vindas de canais não oficiais.
Conclusão
A campanha envolvendo o malware EtherRAT demonstra como os ataques modernos dependem cada vez menos de vulnerabilidades técnicas e cada vez mais da manipulação psicológica das vítimas. Ao combinar vishing, engenharia social, abuso do Microsoft Teams e ferramentas legítimas de acesso remoto, os criminosos conseguem contornar diversas camadas tradicionais de proteção.
A boa notícia é que esse tipo de ameaça pode ser significativamente reduzido com uma combinação de tecnologias atualizadas, políticas de segurança bem definidas e treinamento contínuo dos colaboradores. Em ambientes corporativos, especialmente aqueles que utilizam infraestruturas híbridas com Linux e Windows, conscientização e processos seguros são tão importantes quanto antivírus e firewalls.
Compartilhe este alerta com sua equipe de TI e com seus colegas de trabalho. Quanto mais pessoas conhecerem o funcionamento desse golpe, menores serão as chances de que o malware EtherRAT encontre espaço para comprometer a segurança da empresa.
