Pesquisadores identificaram uma campanha de phishing que apresenta convites de festa falsos como isca para forçar o download e a instalação silenciosa de um cliente remoto (ScreenConnect) em máquinas Windows. A análise foi divulgada por Cyber Security News com base em relatório da Malwarebytes.
Como a campanha opera
Segundo a cobertura, o ataque começa com e‑mails que parecem convites informais enviados por contatos conhecidos — frequentemente resultantes de contas comprometidas — o que reduz a suspeita do destinatário. O link presente na mensagem direciona para uma página maliciosa que imita um convite, com chamadas de urgência (contagem regressiva) e provas sociais para induzir a execução do arquivo.
Payload e técnicas de instalação
Ao clicar, o navegador baixa automaticamente um arquivo nomeado RSVPPartyInvitationCard.msi. O instalador não contém um cartão de convite: ele invoca o Windows Installer (msiexec.exe) para despachar o instalador do cliente ScreenConnect no sistema da vítima. A publicação informa que os binários são colocados em C:\Program Files (x86)\ScreenConnect Client\ e que a campanha cria um serviço Windows persistente com nome contendo caracteres randômicos, por exemplo "ScreenConnect Client 18d1648b87bb3023".
Vetor e motivos de evasão
ScreenConnect é um software legítimo de suporte remoto. A reportagem ressalta que, por ser uma ferramenta válida, sua presença e o tráfego criptografado para servidores de retransmissão podem não disparar alertas de ferramentas de segurança tradicionais. Depois da instalação, o cliente estabelece conexões HTTPS encriptadas com domínios de instância atribuídos, concedendo ao operador remoto capacidades equivalentes às de um técnico de suporte (controle de tela, teclado, transferência de arquivos e persistência).
Alvo geográfico e sinais de comprometimento
Malwarebytes observou que a campanha foi identificada principalmente no Reino Unido, embora o texto destaque que nada tecnicamente impede a expansão para outras regiões. A detecção inicial por usuários ou equipes de resposta costuma ocorrer por anomalias comportamentais: movimentos do cursor sem interação do usuário, janelas que se abrem sozinhas ou processos desconhecidos em execução que o usuário não reconhece.
Evidências públicas e lacunas
- O relatório detalha o nome do instalador e o caminho de instalação observados;
- Não há na cobertura lista de domínios de comando e controle, hashes dos instaladores ou indicadores de compromisso (IoCs) publicados diretamente na matéria;
- Também não há declaração formal do fabricante do ScreenConnect na matéria consultada.
Implicações para defesa
Embora a fonte não apresente contramedidas formais, o caso exemplifica riscos inerentes ao abuso de software legítimo de suporte remoto. Equipes de segurança devem tratar instalações inesperadas de clientes remotos como incidentes e correlacionar sinais comportamentais (movimentação de input, criação de serviços com nomes atípicos, conexões HTTPS para domínios desconhecidos) para investigar potenciais acessos remotos não autorizados.
Fonte: Cyber Security News, com base em análise da Malwarebytes (publicado em 03/02/2026).
Observação: o texto aqui resume os fatos reportados; não houve, na matéria consultada, indicação de vítimas corporativas identificadas ou de campanhas de grande escala para além do país citado.