Sites falsos de Notepad++/7‑Zip distribuem RMM e instalam PatoRAT

Relatos da ASEC documentam campanhas que usam sites falsos de Notepad++ e 7‑Zip para entregar RMMs legítimos (LogMeIn Resolve, PDQ Connect) e, em seguida, instalar o backdoor PatoRAT via PowerShell. Ferramentas administrativas legítimas tornam a detecção mais difícil; a matéria recomenda validação de origem, monitoramento de RMM e controles de assinatura digital. Não há dados públicos sobre número de vítimas ou alvos no Brasil.

Relatos de pesquisadores apontam uma campanha em que sites fraudulentos que imitam páginas de download do Notepad++ e do 7‑Zip estão entregando ferramentas legítimas de gerenciamento remoto (RMM) convertidas para acesso malicioso, seguidas da instalação do backdoor PatoRAT.

O ataque e o modus operandi

Segundo a matéria, as páginas forjadas replicam visual e funcionalmente os sites oficiais; ao clicar no instalador, vítimas recebem LogMeIn Resolve ou PDQ Connect em vez do software esperado. Esses RMMs legítimos registram-se nas infraestruturas em nuvem dos fornecedores, o que dá aos invasores um canal persistente e legítimo para interação remota.

Fases da campanha

Redirecionamento a partir de anúncios maliciosos ou manipulação de resultados de busca para páginas falsificadas.
Instalação do RMM camuflado, com registro automático na infraestrutura do provedor do RMM.
Execução de comandos PowerShell via RMM para baixar e instalar PatoRAT, garantindo persistência mesmo se o RMM for removido.

Evidências e quem reportou

A ASEC (do grupo AhnLab) é citada como responsável pela identificação do aumento dessas campanhas e pela documentação de casos em que LogMeIn Resolve e PDQ Connect foram usados como vetor inicial para posterior implantação de backdoors. A matéria ressalta que ferramentas administrativas legítimas costumam escapar de detecções tradicionais de antivírus, tornando a detecção por equipes de segurança mais difícil.

Impacto operacional e riscos

O uso de RMMs legítimos como plataforma de ataque traz implicações operacionais claras: invasores podem executar comandos com privilégios administrativos, mover-se lateralmente e desembarcar cargas adicionais (ransomware, exfiltração). A matéria descreve especificamente a instalação do PatoRAT como mecanismo de persistência e roubo de dados.

Controles recomendados

Fornecer canais oficiais e treinamentos para downloads de software; proibir instalações de utilitários a partir de fontes terceiras sem validação.
Aplicar políticas de assinatura digital e verificação de certificados antes da execução de instaladores.
Monitorar o uso de RMM na organização: inventariar instâncias autorizadas e bloquear registros não previstos em infraestrutura cloud do provedor.
EDR/telemetria: configurar detecção de execuções atípicas de PowerShell e de processos de instalação iniciados por navegadores.

Limitações e lacunas de informação

A reportagem não fornece contagem consolidada de sistemas afetados nem listas públicas de IoCs. Também não há indicação de foco geográfico no Brasil ou de comprometimento de grandes marcas brasileiras. O texto baseia-se em análises da ASEC e evidencia uma tendência de atores reutilizarem ferramentas de administração remota em campanhas de intrusão.

Conclusão

Organizações devem tratar instalações de RMM como operações sensíveis e aplicar controles de autorização, assinatura e monitoramento contínuo. A escolha de atacantes por páginas que imitam utilitários comuns reforça a necessidade de controles de cadeia de fornecimento de software e de treinamento dirigido a equipes que realizam downloads e gestão de ambientes.

Fonte: Cyber Security News (apontando ASEC/AhnLab como pesquisador citado).