Cibercriminosos exploram ferramentas corporativas para invadir empresas brasileiras

Campanha identificada pela Cisco Talos usa software legítimos de monitoramento remoto, usados por executivos corporativos, e abusa de períodos gratuitos para infiltrar-se em redes empresariais. Ameaças focam, principalmente, em C-Levels e profissionais do setor financeiro

Compartilhar:

Uma nova campanha cibercriminosa voltada ao Brasil tem colocado executivos de alto escalão no centro de ações maliciosas altamente direcionadas. O mais recente levantamento da Cisco Talos revela que as vítimas prioritárias são C-Levels, equipes financeiras e recursos humanos, além de instituições educacionais e governamentais. A ameaça se vale de mensagens de spam que exploram o modelo da Nota Fiscal Eletrônica (NF-e) para enganar os usuários e induzi-los a acessar links maliciosos hospedados no Dropbox.

A infecção inicial ocorre por meio de mensagens que simulam faturas em atraso ou comprovantes de pagamento emitidos por instituições financeiras e operadoras de telefonia celular. Ao clicar no link, a vítima é redirecionada para um instalador disfarçado, muitas vezes batizado com nomes como “NotaFiscal_NFe_random.exe” — onde “random” representa uma sequência aleatória de letras e números — e que, na prática, instala uma ferramenta comercial de monitoramento e gerenciamento remoto (RMM).

Entre os softwares abusados, destacam-se o N-able Remote Monitoring & Management e o PDQ Connect, ambos legítimos e amplamente utilizados para suporte remoto em ambientes corporativos. “O diferencial desta campanha é o uso estratégico do período de testes gratuitos dessas ferramentas para evitar gastos e dificultar a detecção pelas defesas tradicionais”, aponta a equipe da Cisco Talos.

Como a ameaça funciona

Segundo o relatório, após o primeiro comprometimento, os invasores têm acesso irrestrito à máquina da vítima, podendo executar comandos remotamente, capturar teclas digitadas, transmitir a tela em tempo real e manipular arquivos. A maioria dos instaladores foi registrada com contas de e-mail gratuitas, como Gmail e ProtonMail, o que reforça a tese de que os agentes de ameaça não estão usando credenciais corporativas roubadas, mas sim criando novas contas exclusivamente para a campanha.

A operação é atribuída a grupos conhecidos como Initial Access Brokers (IABs), que se especializam em invadir ambientes corporativos para depois vender esse acesso a grupos interessados, como operadores de ransomware ou cibercriminosos patrocinados por Estados. Embora nem todas as máquinas apresentem atividades maliciosas imediatamente após a infecção, há casos em que os invasores desinstalam ferramentas de segurança e instalam novos softwares RMM dias depois — um padrão típico da atuação de IABs.

Além disso, o tráfego de rede dessas ferramentas é disfarçado como comunicação legítima por meio de HTTPS e hospedado em infraestruturas de nuvem como AWS, dificultando a detecção pelos sistemas tradicionais. O domínio utilizado pelas ferramentas é o mesmo para todos os clientes, mudando apenas a chave de API e o nome de usuário, o que dificulta ainda mais a atribuição de autoria.

“Esse tipo de campanha representa um alerta importante para empresas brasileiras, sobretudo aquelas com estruturas expostas ou políticas de controle de acesso mal configuradas. O uso de ferramentas legítimas como vetor de ataque levanta a necessidade urgente de monitoramento contínuo e controles mais refinados de aplicações”, reforça a Cisco Talos no relatório.

A recomendação para mitigar o impacto dessas ameaças inclui revisar políticas de controle de aplicações, monitorar o uso de ferramentas de acesso remoto e adotar soluções de segurança com foco em detecção comportamental.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Unicred do Brasil sustenta Segurança e escala com SASE e inteligência de rede

Em painel no Security Leaders Porto Alegre, instituição e Agility detalham como arquiteturas modernas de conectividade simplificam o acesso de...
Security Report | Destaques

IA, autonomia e Cyber: Líderes discutem equilíbrio entre inovação e fator humano

Até que ponto a Inteligência Artificial agêntica tem condições de agir de forma autônoma, e em que momento o usuário...
Security Report | Destaques

79% dos ataques de ransomware usaram identidades como vetor de acesso inicial

Descoberta foi documentada no State of Ransomware 2026 da Sophos, anunciada hoje (15) pela empresa. De acordo com os executivos...
Security Report | Destaques

Jornada resiliente do Grupo Fácil transforma gestão de brechas e threat intelligence

A companhia de gestão empresarial em saúde contou com a parceria da Clavis para ampliar suas capacidades com SOC e...