Pesquisadores da Cisco Talos alertam para uma crescente onda de ciberataques no Brasil, que desde janeiro de 2025 têm mirado executivos e profissionais das áreas financeira e de recursos humanos. O golpe, orquestrado por um grupo especializado em acessar redes corporativas, utiliza um vetor pouco convencional: softwares RMM (Remote Monitoring and Management) comerciais de acesso remoto. As vítimas são induzidas a clicar em links maliciosos em e-mails que simulam cobranças legítimas de instituições financeiras ou operadoras de telefonia, dando início a uma sequência de ações que permitem o controle total das redes infectadas.
A nova campanha de phishing tem explorado vulnerabilidades no sistema de Nota Fiscal Eletrônica (NF-e), utilizado no Brasil, para enviar mensagens fraudulentas. Quando o link malicioso é acessado, o software de acesso remoto é baixado na máquina da vítima, permitindo aos criminosos o controle completo do sistema.
Softwares RMM: a porta aberta para os atacantes
Os criminosos por trás dessa campanha utilizam versões de teste de softwares RMM (Remote Monitoring and Management) legítimos, como N-able RMM e PDQ Connect, que oferecem períodos gratuitos para testes. Essa estratégia visa driblar custos e dificultar a detecção, uma vez que os programas são assinados digitalmente e reconhecidos como ferramentas confiáveis. Após a instalação desses softwares, os invasores ganham acesso irrestrito às máquinas, podendo ler e gravar arquivos, instalar novas ferramentas de controle remoto como o ScreenConnect, e até acessar sistemas internos de redes corporativas.
A Cisco Talos aponta que esse tipo de ataque é uma primeira etapa em um ataque mais abrangente, em que os criminosos obtêm acesso inicial à rede para, em seguida, instalar outras ferramentas maliciosas ou roubar credenciais corporativas valiosas.
A resposta das empresas e o impacto no setor financeiro
A N-able, empresa responsável pelo software RMM, agiu rapidamente e desativou as contas afetadas, prevenindo a continuidade do ataque em larga escala. No entanto, a ameaça representa um novo desafio para empresas e organizações de todos os portes, especialmente nos setores financeiro e corporativo, que são os principais alvos desses atacantes.
Esse tipo de ataque é particularmente perigoso porque usa softwares legítimos que muitos profissionais de TI já utilizam em suas operações diárias. As ferramentas de acesso remoto são essenciais para a administração de redes, mas agora estão sendo exploradas por cibercriminosos para invadir sistemas críticos. Além disso, o uso de documentos Word e serviços como GetShared, Milanote e TryCloudflare para distribuir malwares mostra como os criminosos estão diversificando suas estratégias e se adaptando às defesas tradicionais de e-mail e endpoint.
Golpes mais sofisticados: a evolução da cibercriminalidade
Essa campanha é apenas uma parte de um ecossistema de ataques cada vez mais sofisticados. Os criminosos estão constantemente aprimorando seus métodos para driblar sistemas de segurança modernos e explorar novas brechas. A falsa cobrança por meio do sistema NF-e é um exemplo de como os atacantes exploram ferramentas do cotidiano corporativo para lançar suas campanhas de phishing.
As defesas de e-mail e segurança de endpoint estão se tornando cada vez mais sofisticadas, mas também têm sido ultrapassadas por criminosos que agora usam ferramentas legítimas e técnicas de engano psicológico para infiltrar-se nas redes. Os atacantes sabem que muitos profissionais podem não questionar a aparência de e-mails legítimos de bancos e operadoras, o que torna a conscientização e a educação cibernética ainda mais essenciais para a proteção.
Medidas de proteção recomendadas
Com o aumento dessa ameaça, os executivos de TI e profissionais de segurança cibernética devem estar atentos a algumas medidas de prevenção:
- Educação contínua sobre phishing e segurança de e-mail para todos os colaboradores, especialmente nas áreas financeira e de RH;
- Monitoramento constante de softwares de acesso remoto e controle rigoroso sobre suas permissões e instalações;
- Adoção de ferramentas de segurança com análise comportamental, que podem detectar atividades incomuns, mesmo sem a assinatura de malware conhecida;
- Verificação rigorosa de links e anexos recebidos por e-mail, com especial atenção a qualquer solicitação de dados financeiros ou confidenciais.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
