Uma nova campanha de phishing direcionado está chamando a atenção de pesquisadores de segurança por combinar duas técnicas altamente eficazes em um único fluxo de ataque. Em vez de depender exclusivamente de malware tradicional, os invasores utilizam engenharia social para roubar credenciais e, em seguida, abusam de ferramentas legítimas de TI para manter acesso remoto persistente aos sistemas comprometidos.
Esse modelo, conhecido como vetor duplo, explora a confiança dos usuários em serviços populares e a aceitação prévia de softwares corporativos dentro de ambientes empresariais. O destaque desse caso é o uso indevido do LogMeIn, uma solução legítima de RMM e acesso remoto, transformada em um mecanismo silencioso de espionagem.
Ao operar dentro dos limites do que é considerado “normal” por muitas soluções de segurança, essa campanha representa uma evolução preocupante das ameaças baseadas em Living off the Land, dificultando a detecção e prolongando o tempo de permanência do invasor na rede.
O mecanismo do ataque: das credenciais roubadas à invasão
O ataque começa com uma mensagem de phishing cuidadosamente construída, enviada por e-mail para usuários corporativos e individuais. Os criminosos utilizam a plataforma Greenvelope como isca, explorando sua reputação legítima para reduzir a desconfiança da vítima.
O conteúdo da mensagem simula convites profissionais, notificações de documentos ou comunicações internas, induzindo o usuário a clicar em um link. Ao acessar a página indicada, a vítima é direcionada para um portal falso de autenticação, visualmente idêntico a serviços amplamente utilizados.
Essa etapa inicial não instala nenhum malware e não executa código suspeito, o que torna o ataque difícil de ser bloqueado por filtros tradicionais. O objetivo é claro, capturar credenciais válidas e preparar o terreno para a fase mais crítica da campanha.
Roubo de credenciais do Outlook e Yahoo
As páginas falsas de login são direcionadas principalmente a contas de Outlook e Yahoo, serviços amplamente usados tanto em ambientes corporativos quanto pessoais. Ao inserir usuário e senha, a vítima concede acesso direto à sua caixa de e-mail.
Com essas credenciais, os atacantes passam a monitorar comunicações, redefinir senhas de outros serviços vinculados e validar a identidade da vítima em interações internas. Esse acesso confiável é essencial para viabilizar o próximo estágio do ataque, a instalação de ferramentas de acesso remoto sem levantar suspeitas.
Nesse ponto, o phishing já cumpriu sua função principal. A campanha deixa de depender da interação do usuário e passa a operar de forma persistente e silenciosa.
Transformando o LogMeIn em uma ferramenta de espionagem
A segunda fase do ataque envolve o abuso direto do LogMeIn, uma ferramenta legítima de acesso remoto amplamente utilizada por equipes de suporte técnico. Os invasores utilizam um executável chamado GreenVelopeCard.exe, apresentado como um arquivo relacionado ao convite inicial.
Esse arquivo atua como um instalador encoberto, baixando e configurando automaticamente o agente do LogMeIn no sistema da vítima. Por se tratar de um software confiável, assinado digitalmente e conhecido por soluções de segurança, sua instalação raramente gera alertas imediatos.
Uma vez ativo, o LogMeIn concede controle remoto completo do dispositivo, permitindo acesso contínuo, transferência de arquivos, execução de comandos e monitoramento das atividades do usuário. Na prática, a ferramenta se transforma em uma porta dos fundos persistente, operando dentro das regras do próprio sistema.
Os atacantes configuram o acesso remoto de forma silenciosa, sem janelas visíveis ou notificações claras, garantindo que a vítima continue utilizando o computador normalmente enquanto o ambiente é observado em segundo plano.
Persistência e evasão de segurança
Para garantir que o acesso não seja perdido, a campanha implementa mecanismos clássicos de persistência, aproveitando recursos nativos do sistema operacional. No Windows, o LogMeIn é configurado para iniciar automaticamente por meio de serviços do sistema e tarefas agendadas.
Essas tarefas são criadas com privilégios elevados, muitas vezes com permissões administrativas completas. Isso permite que o acesso remoto seja restaurado mesmo após reinicializações ou tentativas parciais de remoção.
O aspecto mais crítico é que não há exploração direta de vulnerabilidades nem execução de malware personalizado. Todo o ataque se baseia em ferramentas legítimas, configuradas de forma maliciosa. Essa abordagem dificulta a detecção por antivírus tradicionais e até por soluções avançadas de EDR.
Esse tipo de abuso se encaixa perfeitamente no conceito de Living off the Land, onde o próprio ecossistema do sistema operacional é utilizado contra o usuário.
Como se proteger e identificar invasões
A defesa contra esse tipo de campanha exige uma mudança de mentalidade. Não basta mais bloquear arquivos suspeitos, é necessário monitorar o uso de ferramentas legítimas e compreender seu comportamento normal dentro do ambiente.
A ativação de autenticação multifator (MFA) em contas de e-mail é uma das medidas mais eficazes para mitigar o impacto do phishing. Mesmo que as credenciais sejam roubadas, o acesso não autorizado se torna significativamente mais difícil.
Administradores devem auditar regularmente a presença de softwares de RMM e acesso remoto, verificando se todas as instâncias do LogMeIn são realmente autorizadas. Processos ativos, serviços e tarefas agendadas desconhecidas devem ser investigados imediatamente.
Também é fundamental investir em conscientização dos usuários. Mensagens que utilizam plataformas conhecidas, como convites digitais ou notificações corporativas, não devem ser tratadas automaticamente como seguras. A verificação cuidadosa de links e solicitações de login continua sendo uma linha de defesa essencial.
Conclusão e o futuro das ameaças de TI
Essa campanha demonstra como o cibercrime está cada vez mais focado em abusar da confiança, e não apenas em explorar falhas técnicas. O uso indevido do LogMeIn evidencia que qualquer ferramenta legítima pode se tornar uma arma quando cai em mãos erradas.
À medida que ataques baseados em credenciais roubadas e Living off the Land se tornam mais comuns, a segurança precisa evoluir para além da detecção de malware. Visibilidade, controle e auditoria de ferramentas confiáveis passam a ser elementos centrais da defesa.
Revisar seus sistemas agora, compartilhar esse alerta e reforçar políticas de acesso remoto pode ser a diferença entre um incidente contido e meses de espionagem silenciosa.