Golpe com falso e-mail da Previdência dos EUA usa ScreenConnect para tomar controle de PCs
Campanha de phishing com falso e-mail da SSA desativa proteções do Windows e instala ScreenConnect para acesso remoto persistente. Entenda a cadeia de ataque e as medidas prioritárias de contenção.
Uma campanha ativa está usando e-mails falsos da Social Security Administration (SSA) para comprometer máquinas em empresas dos EUA, Reino Unido, Canadá e Irlanda do Norte. O objetivo não é malware inédito, mas desativar camadas de proteção do Windows e abrir acesso remoto persistente.
Como o ataque funciona
O e-mail malicioso induz a vítima a executar um anexo .cmd. A partir disso, o script busca privilégios elevados e altera configurações de segurança do sistema.
- desativa o Windows SmartScreen;
- remove marcações de segurança como Mark-of-the-Web;
- usa técnicas de ocultação para reduzir alertas;
- instala silenciosamente um pacote MSI.
ScreenConnect como vetor de persistência
Com as proteções enfraquecidas, os atacantes instalam o ConnectWise ScreenConnect como backdoor, dificultando detecção por reutilizar software legítimo.
Riscos e resposta
Setores com dados sensíveis, como governo, saúde e logística, estão entre os alvos prioritários. A resposta imediata deve combinar bloqueio de anexos executáveis, endurecimento de privilégios locais, monitoramento de alterações críticas no Windows e controle rigoroso de ferramentas remotas.
Fonte: https://hackread.com/hackers-screenconnect-hijack-pcs-fake-social-security-emails/
