Hack Alerta

Campanhas usam PDFs falsos e screensavers .scr para instalar RMM

Por Redação Hack Alerta Publicado em 06/02/2026 05:02 Cyber ataques Tempo de leitura: 4 min

Pesquisas da ReliaQuest e da SpiderLabs documentam campanhas que usam screensavers (.scr) e PDFs falsos para instalar agentes RMM legítimos (ex.: SimpleHelp, ScreenConnect). A técnica mistura tráfego e assinaturas legítimas, dificultando a detecção. Mitigações prioritárias incluem allowlist de RMM, bloqueio de execuções .scr em pastas de usuário e monitoramento via EDR.

Introdução

Nos últimos dias foram identificadas campanhas paralelas que abusam de arquivos aparentemente legítimos — PDFs e screensavers (.scr) — para instalar ferramentas de Remote Monitoring and Management (RMM) e garantir acesso remoto persistente às máquinas das vítimas. As duas vertentes foram descritas por equipes de pesquisa que rastrearam as cadeias de entrega e os vetores de persistência.

Resumo das operações observadas

Pesquisadores da ReliaQuest documentaram uma campanha que entrega cargas disfarçadas como screensavers (.scr). O arquivo, quando executado, instala silenciosamente um agente RMM legítimo (a reportagem cita SimpleHelp como exemplo), que então estabelece uma conexão criptografada com a infraestrutura controlada pelo invasor. Separadamente, a SpiderLabs relatou uma operação de malspam que envia PDFs maliciosos que induzem o usuário a baixar um instalador a partir de páginas que imitam o site da Adobe; em vez do Acrobat, o instalador contém agentes RMM (ScreenConnect, Syncro, NinjaOne, SuperOps foram citados).

Vetor de entrega e evasão

Ambas as campanhas exploram a confiança em softwares e serviços legítimos. No caso dos screensavers, o formato .scr é tratado pelo Windows como um executável (PE) — contudo, muitos ambientes aplicam controles menos restritos a screensavers do que a EXE/MSI. Na cadeia de PDFs, a isca usa um erro falso de visualização que empurra o usuário a seguir um link para “visualizar” o documento, levando-o a baixar um instalador hospedado em plataformas de armazenamento ou páginas clonadas.

Efeito operacional e por que é difícil detectar

Ferramentas RMM legítimas foram projetadas para administração remota: controle de tela, transferência de arquivos, execução remota de comandos e persistência. Quando um invasor consegue instalar um agente legítimo, o tráfego gerado tende a se misturar ao tráfego gerado por equipes de TI, reduzindo hipóteses de detecção por reputação. Além disso, muitos destes instaladores vêm assinados ou usam infraestruturas de confiança, o que diminui alertas em AVs e soluções de filtragem tradicionais.

Impacto e escopo conhecidos

As matérias não quantificam o número de vítimas, mas descrevem que a técnica permite controle interativo e manutenção de acesso mesmo após reinicializações. O uso de serviços públicos de hosting (por exemplo, GoFile citado na cobertura) e de agentes administrados por atacantes amplia o risco de movimentos laterais e perda de dados em redes corporativas.

Mitigações recomendadas

  • Tratar .scr como executável: bloquear execução de screensavers a partir de pastas suscetíveis (Downloads, anexos, perfis de usuário) e aplicar políticas de execução restritiva.
  • Allowlist de RMM: manter uma lista aprovada de ferramentas RMM e bloquear instalações/execuções que não façam parte desta lista.
  • Política de downloads: impedir downloads e execuções a partir de links externos não autorizados; bloquear páginas e domínios recém-criados usados para hospedagem de instaladores.
  • EDR e monitoramento de comportamento: detectar processos que instalam serviços, criam persistência ou fazem conexões remotas atípicas mesmo quando o binário é assinado.
  • Segmentação e least-privilege: limitar privilégios de contas administrativas e segmentar redes para reduzir o impacto de agentes RMM comprometidos.
  • Treinamento: alertar usuários para iscas que instruem a baixar “visualizadores” ou “correções” para abrir PDFs ou outros documentos.

Evidências e lacunas

As publicações citam exemplos técnicos e nomes de ferramentas observadas, mas não fornecem amostras completas de IOCs ou listas de domínios maliciosos no corpo das matérias. Defensores devem consultar os relatórios técnicos originais (ReliaQuest e SpiderLabs) para IOCs e regras de detecção detalhadas; a reportagem serve como sinal de alerta com recomendações operacionais imediatas.

Observações finais

O uso de infraestruturas e agentes legítimos para persistência não é novidade, mas a combinação de vetores (anexos PDF, arquivos .scr distribuídos via links em cloud) mostra uma preferência por técnicas que exploram a confiança do usuário e dos hardwares/softwares de gestão. A resposta exige controles técnicos (allowlist, EDR) e operacionais (inventário de ferramentas RMM, políticas de download, segmentação).

Fontes: ReliaQuest, SpiderLabs (reportagens compiladas pelo Cyber Security News).
Baseado em publicação original de Cyber Security News
Tags: #rmm #phishing #malspam #screensaver #rmm-tools #remote-access #pdf #simplehelp #persistence
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar