Atuantes maliciosos desconhecidos estão utilizando a ferramenta de acesso remoto ScreenConnect como vetor para implantar e executar o malware AsyncRAT. A atividade, identificada pela Kaspersky, faz parte de uma campanha massiva e multilíngue que distribui arquivos de instalação maliciosos hospedados em sites falsificados.
Detalhes da campanha de SEO poisoning
A campanha explora técnicas de envenenamento de mecanismos de busca (SEO poisoning) para posicionar sites falsificados nos primeiros resultados de pesquisa. Esses sites se passam por portais de download de software legítimo, atraindo usuários que buscam ferramentas populares como OBS Studio, DNS Jumper, DS4Windows e Bandicam. Ao clicar nos links, os usuários são redirecionados para páginas que oferecem instaladores comprometidos, contendo payloads maliciosos disfarçados.
Abuso do ScreenConnect
O ScreenConnect, uma ferramenta legítima de acesso remoto amplamente utilizada por profissionais de TI, está sendo explorada para facilitar a distribuição do AsyncRAT. Os atacantes utilizam a infraestrutura do ScreenConnect para hospedar os arquivos maliciosos ou para estabelecer canais de comando e controle (C2) que se assemelham a tráfego legítimo. Isso dificulta a detecção por soluções de segurança baseadas em reputação de domínio, pois o tráfego parece originar-se de uma ferramenta de administração confiável.
Impacto e alcance
A natureza multilíngue e multidoínio da campanha indica um esforço coordenado para atingir um público global. O uso de instaladores que se disfarçam de software comum aumenta a taxa de sucesso da engenharia social, pois os usuários confiam na familiaridade das marcas. Uma vez instalado, o AsyncRAT concede aos atacantes controle total sobre o sistema comprometido, permitindo a execução de comandos remotos, captura de tela, acesso a arquivos e roubo de credenciais.
Medidas de mitigação
As organizações devem revisar os logs de acesso ao ScreenConnect e identificar conexões não autorizadas. É crucial implementar soluções de detecção de anomalias que monitorem o comportamento de ferramentas de acesso remoto. Além disso, os usuários devem ser educados para verificar a autenticidade dos sites de download e evitar a instalação de software de fontes não verificadas. A aplicação de políticas de restrição de software (whitelisting) pode impedir a execução de instaladores maliciosos mesmo que o usuário tente executá-los.
Análise técnica
O AsyncRAT é conhecido por suas capacidades de persistência e evasão. Ele frequentemente utiliza técnicas de ofuscação de código e injeta processos legítimos para esconder sua presença. A combinação com o ScreenConnect adiciona uma camada de complexidade, pois os administradores podem não monitorar o tráfego de saída do ScreenConnect com a mesma rigorosidade de outras ferramentas. A análise forense deve focar em processos filhos do ScreenConnect e conexões de rede incomuns geradas por ele.
Conclusão
Esta campanha destaca a necessidade de monitoramento contínuo de ferramentas de acesso remoto e a verificação rigorosa de fontes de software. A exploração de ferramentas legítimas para fins maliciosos é uma tática crescente que exige uma postura de segurança baseada em comportamento, não apenas em assinaturas. A colaboração entre equipes de TI e segurança é essencial para identificar e bloquear esses vetores de ataque antes que causem danos significativos.