Golpe com falso e-mail da Previdência dos EUA usa ScreenConnect para tomar controle de PCs

Uma campanha ativa está usando e-mails falsos da Social Security Administration (SSA) para comprometer máquinas em empresas dos EUA, Reino Unido, Canadá e Irlanda do Norte. O objetivo não é malware inédito, mas desativar camadas de proteção do Windows e abrir acesso remoto persistente.

Como o ataque funciona

O e-mail malicioso induz a vítima a executar um anexo .cmd. A partir disso, o script busca privilégios elevados e altera configurações de segurança do sistema.

• desativa o Windows SmartScreen;
• remove marcações de segurança como Mark-of-the-Web;
• usa técnicas de ocultação para reduzir alertas;
• instala silenciosamente um pacote MSI.

ScreenConnect como vetor de persistência

Com as proteções enfraquecidas, os atacantes instalam o ConnectWise ScreenConnect como backdoor, dificultando detecção por reutilizar software legítimo.

Riscos e resposta

Setores com dados sensíveis, como governo, saúde e logística, estão entre os alvos prioritários. A resposta imediata deve combinar bloqueio de anexos executáveis, endurecimento de privilégios locais, monitoramento de alterações críticas no Windows e controle rigoroso de ferramentas remotas.

Fonte: https://hackread.com/hackers-screenconnect-hijack-pcs-fake-social-security-emails/