Silentconnect usa vbscript, powershell e masquerading de peb para implantar screenconnect
Um novo malware multiestágio, denominado Silentconnect, tem sido identificado por pesquisadores da Elastic Security Labs como uma ameaça persistente e sofisticada contra ambientes corporativos Windows. A campanha, ativa desde pelo menos março de 2025, utiliza técnicas avançadas de ofuscação e evasão para instalar a ferramenta de gerenciamento remoto ScreenConnect em sistemas comprometidos.
Descoberta e escopo da campanha
A campanha Silentconnect foi identificada em março de 2026 após alertas comportamentais gerados por infecções estilo living-off-the-land. Os pesquisadores notaram padrões consistentes de atividade suspeita que indicavam a presença de um carregador malicioso sofisticado. O malware utiliza VBScript, execução de PowerShell na memória e masquerading de PEB (Process Environment Block) para instalar o ScreenConnect, uma ferramenta legítima de monitoramento e gerenciamento remoto (RMM) da ConnectWise.
Uma vez implantado, o ScreenConnect concede aos atacantes controle total sobre a máquina comprometida, representando uma ameaça séria para ambientes corporativos em todo o mundo. A infecção começa quando o alvo recebe um e-mail de phishing com um link que aparenta levar a um convite ou proposta legítima. Ao clicar, a vítima é redirecionada para uma página de CAPTCHA do Cloudflare Turnstile, solicitando que verifique ser humano.
Vetor de ataque e execução
Após a confirmação do CAPTCHA, um arquivo VBScript nomeado E-INVITE.vbs é baixado automaticamente para a máquina. Os atores maliciosos utilizam nomes de arquivos convincentes, como Proposal-03-2026.vbs, para tornar os iscos mais credíveis e reduzir a guarda da vítima antes da execução. O VBScript é hospedado no armazenamento r2.dev da Cloudflare, enquanto o payload C# é buscado do Google Drive, duas plataformas confiáveis que a maioria das defesas de rede dificilmente bloqueia.
O VBScript se mistura à atividade normal do Windows para permanecer sob o radar. Ele usa uma história infantil como isca, escondendo instruções reais dentro das funções Replace e Chr. Ao ser decodificado, ele dispara um comando PowerShell que usa o curl.exe embutido para baixar um arquivo de origem C#, compilando-o em tempo de execução através do Add-Type e executando-o inteiramente na memória.
PEB masquerading e evasão de defesa
Uma vez que o carregador .NET é executado, o Silentconnect move-se rapidamente para desaparecer da visão das ferramentas de segurança. Após dormir por 15 segundos, ele aloca memória executável através do NtAllocateVirtualMemory e copia um stub de shellcode pequeno para essa região. Este shellcode recupera o endereço do Process Environment Block, uma estrutura do Windows que rastreia todos os módulos carregados em um processo em execução.
Com o endereço do PEB em mãos, o Silentconnect realiza o masquerading de PEB localizando sua própria entrada de lista de módulos e sobrescrevendo os campos BaseDLLName e FullDllName para exibir winhlp32.exe e c:\windows\winhlp32.exe. Como muitas soluções de EDR dependem dos dados do PEB como referência confiável ao identificar processos suspeitos, essa troca de nomes disfarça o carregador como um utilitário de ajuda do Windows inofensivo.
Implicações para a segurança corporativa
A infraestrutura do ator malicioso revela um padrão consistente. Um e-mail de phishing no VirusTotal com o assunto YOU ARE INVITED foi rastreado para dan@checkfirst[.]net[.]au, impersonando uma proposta de projeto de uma empresa falsa. O atacante reutilizou o mesmo caminho URI — download_invitee.php — em vários sites comprometidos, o que provou ser um erro de OPSEC, permitindo que os pesquisadores mapeassem a infraestrutura completa da campanha.
Antes de instalar o ScreenConnect, o carregador executa um bypass de UAC através da interface COM CMSTPLUA, armazena seus parâmetros em ordem reversa como ofuscação e adiciona silenciosamente uma exclusão do Microsoft Defender para arquivos exe. Em seguida, baixa o MSI do ScreenConnect de bumptobabeco[.]top via curl.exe, instala-o através do msiexec.exe e o configura como um serviço do Windows que faz beaconing para o servidor do atacante sobre a porta TCP 8041.
Medidas de mitigação recomendadas
As organizações devem auditar rotineiramente seus ambientes para implantações não autorizadas de RMM e monitorar o tráfego de saída para endereços de servidor ScreenConnect desconhecidos. As equipes de segurança devem sinalizar comandos PowerShell que combinam Add-Type com downloads remotos, alertar sobre arquivos VBScript buscados da internet e observar mudanças inesperadas nas exclusões do Defender.
Acompanhar chamadas NtAllocateVirtualMemory de processos .NET também pode ajudar a capturar essa ameaça antes que ela alcance o comprometimento total. A detecção deve focar em comportamentos anômalos de scripts e na presença de serviços ScreenConnect não autorizados.
O que os CISOs devem fazer imediatamente
Os CISOs devem priorizar a revisão de logs de PowerShell e VBScript, especialmente aqueles que envolvem downloads de URLs externas ou compilação de código em tempo de execução. A implementação de restrições de execução de scripts e o monitoramento de chamadas de API de memória são essenciais para mitigar esse tipo de ataque.
Perguntas frequentes
Como o Silentconnect se diferencia de outros malwares? Ele utiliza masquerading de PEB e execução na memória para evitar detecção por ferramentas de endpoint tradicionais.
Qual é o objetivo final do ataque? A instalação do ScreenConnect para fornecer controle remoto total sobre a máquina comprometida.
É possível detectar o malware antes da instalação? Sim, monitorando chamadas de API suspeitas e downloads de scripts ofuscados.