Uso em Cadeia de Ferramentas RMM Maliciosas: Como Atores de Ameaça Abusam de Software de Gerenciamento Remoto para Acesso Inicial
Aprofundamento CEVIU
Aprofundamento
O abuso de ferramentas RMM deixou de ser uma exceção para virar a principal via de acesso inicial em ataques direcionados no Brasil e nas Américas, com aumento de 277% em 2025, segundo a Huntress. O que torna esse vetor perigoso não é o malware, mas a normalidade: Action1, ScreenConnect e PDQ Connect são softwares legítimos, usados diariamente por TI, e seus binários não acionam antivírus tradicionais. Atacantes exploram isso ao instalar agentes RMM via MSI malicioso executado por wscript, injetar scripts gerados por LLM para fragmentar a telemetria e usar bots do Telegram como canal C2, evitando redes corporativas bloqueadas e contornando proxies. A técnica de disfarçar pin.exe como 'Windows Security' replica padrões de engenharia social observados em campanhas reais no Brasil, onde golpes com falsos alertas do Windows Defender já ressurgiram em 2025 com iscas de SSA e notas fiscais eletrônicas.
WebBrowserPassView e HideUL.exe não são novidades técnicas, mas sua combinação com RMM representa um salto operacional: agora os atacantes não só roubam senhas de navegadores, mas escondem a própria presença da ferramenta de gerenciamento que as está coletando. Isso dificulta auditorias manuais e escaneamentos de lista de programas, especialmente crítico em ambientes com políticas de segurança baseadas em inventário visual. A vulnerabilidade CVE-2025-3935 no ScreenConnect, divulgada em abril de 2025, ainda tem implantações ativas sem patch, segundo a Barracuda, e serve como porta de entrada para injeção de agentes RMM maliciosos em redes já comprometidas.
Por que isso importa
Empresas brasileiras estão na mira: o país foi o terceiro mais impactado pelas Américas em incidentes cibernéticos no primeiro semestre de 2025, com 87.689 denúncias registradas pela SaferNet, crescimento de 28,4%. Como mais de 51 soluções RMM já foram identificadas como alvos, a confiança cega em ferramentas de administração legítimas se tornou um risco sistêmico. Não basta bloquear RMM não autorizados; é preciso monitorar *qualquer* instalação MSI em pastas graváveis pelo usuário, validar assinaturas de todos os agentes RMM em execução e tratar como suspeita toda comunicação entre um agente RMM e um endpoint que não esteja na lista de controle de acesso. A falha não está no software, mas na ausência de políticas que exijam justificativa operacional para cada uso de RMM, algo que o lolrmm.io ajuda a mapear, mas que precisa ser integrado a processos de aprovação de TI e compliance.
Perguntas frequentes
Por que ferramentas RMM legítimas estão sendo tão usadas em ataques?
Porque elas têm privilégios elevados, rodam em segundo plano e passam despercebidas por EDRs e firewalls. Atacantes não precisam escrever malware novo: usam funcionalidades nativas de automação, atualização remota e execução de scripts já embutidas no Action1 ou ScreenConnect, transformando administração em invasão.
O que significa 'uso em cadeia' de ferramentas RMM?
É quando atacantes combinam duas ou mais ferramentas RMM em sequência: por exemplo, usam um instalador MSI malicioso para implantar o Action1, depois usam o Action1 para baixar e executar o ScreenConnect com credenciais roubadas, criando múltiplas camadas de persistência e dificultando o rastreamento da origem do ataque.
Como detectar se um RMM está sendo usado de forma maliciosa?
Monitore instalações MSI fora de horários de manutenção, conexões RMM para endpoints não cadastrados, comunicação com servidores C2 via Telegram ou domínios suspeitos, e arquivos temporários em pastas como ScreenConnect\Temp\output.txt. Também verifique se o agente RMM está oculto da lista de programas, sinal claro de uso de ferramentas como HideUL.exe.
O Brasil está mais exposto a esse tipo de ataque?
Sim. Dados da SaferNet mostram crescimento de 28,4% em denúncias de crimes cibernéticos em 2025, com campanhas específicas usando RMM para iscas de notas fiscais e SSA. A Cisco Talos já identificou spam local em 2025 que explora períodos de teste gratuito de PDQ Connect e N-able Remote Access, tática que reduz custos operacionais para os criminosos e aumenta a taxa de sucesso.
Fontes
- huntress.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 20 de março de 2026
- Editoria
- CEVIU Segurança da Informação
