Uso em Cadeia de Ferramentas RMM Maliciosas: Como Atores de Ameaça Abusam de Software de Gerenciamento Remoto para Acesso Inicial

A Huntress documentou um aumento de 277% no abuso de ferramentas RMM (Remote Monitoring and Management), com atores de ameaça encadeando ferramentas como Action1 e ScreenConnect. Eles utilizam instaladores MSI, wscript e scripts de infostealer gerados por LLM para fragmentar a telemetria, distribuir a persistência e dificultar a atribuição de ataques. Essas campanhas visam contas financeiras e iscas com tema SSA.

Após o acesso inicial, as táticas empregadas incluíram o uso de pin.exe disfarçado de Windows Security para coletar PINs de login e armazená-los em ScreenConnect\Temp\output.txt, além de HideUL.exe da Sordum para ocultar instalações de RMM da lista de Programas e Recursos, e WebBrowserPassView para coletar credenciais. As notificações de C2 (Command and Control) eram roteadas via bots do Telegram. Para defesa, é crucial incluir ferramentas RMM aprovadas em listas de permissões explicitamente, tratar qualquer atividade RMM não reconhecida como suspeita por padrão, monitorar instalações MSI inesperadas de caminhos graváveis pelo usuário e consultar lolrmm.io para visibilidade sobre plataformas frequentemente abusadas.