Um ataque explorando um hábito absolutamente rotineiro no ambiente de trabalho: participar de videoconferências – as famosas “calls”. A vítima recebe um link aparentemente legítimo e é direcionada a uma página que reproduz com alto grau de fidelidade o visual das plataformas, inclusive com lista dinâmica de participantes que já teriam entrado na chamada. Ao tentar acessar a reunião, surge a mensagem de que é necessário instalar uma atualização para continuar.
Nesse momento que o golpe acontece, pois a suposta atualização é, na verdade, uma ferramenta de acesso remoto (RMM) usada comumente por empresas, como Datto RMM, LogMeIn ou ScreenConnect. Por serem softwares reais e assinados digitalmente, não acionam alertas tradicionais de antivírus e, uma vez instalados, permitem que o invasor tenha acesso administrativo completo ao computador da vítima.
O diretor do Netskope Threat Labs, Ray Canzanese, explica que enganar a vítima para que ela siga os mesmos passos que já realizou inúmeras vezes antes é um excelente exemplo de engenharia social. “Quem nunca recebeu um alerta para atualizar uma ferramenta de videoconferência para entrar em uma reunião? A minha sempre está avisando que há uma atualização disponível.”, complementa.
Com esse nível de acesso e, a partir de um único equipamento comprometido, o criminoso pode visualizar a tela, copiar arquivos, executar comandos remotamente e se movimentar pelas redes das empresas. Um ataque que pode se expandir e abrir caminho para roubo de dados ou distribuição de ransomware.
