Uma nova campanha cibercriminosa voltada ao Brasil tem colocado executivos de alto escalão no centro de ações maliciosas altamente direcionadas. O mais recente levantamento da Cisco Talos revela que as vítimas prioritárias são C-Levels, equipes financeiras e recursos humanos, além de instituições educacionais e governamentais. A ameaça se vale de mensagens de spam que exploram o modelo da Nota Fiscal Eletrônica (NF-e) para enganar os usuários e induzi-los a acessar links maliciosos hospedados no Dropbox.
A infecção inicial ocorre por meio de mensagens que simulam faturas em atraso ou comprovantes de pagamento emitidos por instituições financeiras e operadoras de telefonia celular. Ao clicar no link, a vítima é redirecionada para um instalador disfarçado, muitas vezes batizado com nomes como “NotaFiscal_NFe_random.exe” — onde “random” representa uma sequência aleatória de letras e números — e que, na prática, instala uma ferramenta comercial de monitoramento e gerenciamento remoto (RMM).
Entre os softwares abusados, destacam-se o N-able Remote Monitoring & Management e o PDQ Connect, ambos legítimos e amplamente utilizados para suporte remoto em ambientes corporativos. “O diferencial desta campanha é o uso estratégico do período de testes gratuitos dessas ferramentas para evitar gastos e dificultar a detecção pelas defesas tradicionais”, aponta a equipe da Cisco Talos.
Como a ameaça funciona
Segundo o relatório, após o primeiro comprometimento, os invasores têm acesso irrestrito à máquina da vítima, podendo executar comandos remotamente, capturar teclas digitadas, transmitir a tela em tempo real e manipular arquivos. A maioria dos instaladores foi registrada com contas de e-mail gratuitas, como Gmail e ProtonMail, o que reforça a tese de que os agentes de ameaça não estão usando credenciais corporativas roubadas, mas sim criando novas contas exclusivamente para a campanha.
A operação é atribuída a grupos conhecidos como Initial Access Brokers (IABs), que se especializam em invadir ambientes corporativos para depois vender esse acesso a grupos interessados, como operadores de ransomware ou cibercriminosos patrocinados por Estados. Embora nem todas as máquinas apresentem atividades maliciosas imediatamente após a infecção, há casos em que os invasores desinstalam ferramentas de segurança e instalam novos softwares RMM dias depois — um padrão típico da atuação de IABs.
Além disso, o tráfego de rede dessas ferramentas é disfarçado como comunicação legítima por meio de HTTPS e hospedado em infraestruturas de nuvem como AWS, dificultando a detecção pelos sistemas tradicionais. O domínio utilizado pelas ferramentas é o mesmo para todos os clientes, mudando apenas a chave de API e o nome de usuário, o que dificulta ainda mais a atribuição de autoria.
“Esse tipo de campanha representa um alerta importante para empresas brasileiras, sobretudo aquelas com estruturas expostas ou políticas de controle de acesso mal configuradas. O uso de ferramentas legítimas como vetor de ataque levanta a necessidade urgente de monitoramento contínuo e controles mais refinados de aplicações”, reforça a Cisco Talos no relatório.
A recomendação para mitigar o impacto dessas ameaças inclui revisar políticas de controle de aplicações, monitorar o uso de ferramentas de acesso remoto e adotar soluções de segurança com foco em detecção comportamental.
