SOC Prime Bias: Médio

05 Jan 2026 17:56
newspaper icon Huntress

ScreenConnect Desonesto: Táticas Comuns de Engenharia Social que Vimos em 2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
ScreenConnect Desonesto: Táticas Comuns de Engenharia Social que Vimos em 2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Atores de ameaça estão entregando clientes maliciosos do ScreenConnect (monitoramento remoto e gerenciamento) através de iscas de engenharia social, como falsas declarações do Seguro Social, cartas de convite e documentos de fatura. As iscas são distribuídas via e-mails de phishing e páginas da web maliciosas, levando as vítimas a baixar executáveis do ScreenConnect com nomes alterados. Uma vez instalado, o RMM desonesto fornece ao invasor acesso remoto persistente ao host comprometido.

Investigação

A Huntress observou dezenas de incidentes entre janeiro e setembro de 2025 onde binários do ScreenConnect renomeados foram executados em endpoints em várias indústrias. O SOC coletou nomes de domínio associados, endereços IP e hashes de arquivos, observando o uso repetido de serviços de DNS dinâmico e padrões específicos de nomeação de iscas. Análises detalhadas de logs mostraram o cliente malicioso contatando domínios controlados por invasores para comando e controle.

Mitigação

As organizações devem fortalecer o treinamento de conscientização sobre segurança para identificar falsas declarações, faturas e arquivos de convite. Recomenda-se monitoramento contínuo das ferramentas de acesso remoto, restringir a execução de binários RMM não assinados e auditar conexões de rede com domínios maliciosos conhecidos. Mantenha o software RMM atualizado e na lista de permissões apenas instâncias autorizadas.

Resposta

Ao detectar um executável do ScreenConnect renomeado, isole o endpoint, colete o binário e o tráfego de rede associado e bloqueie o domínio C2 no firewall. Realize uma análise forense para identificar mecanismos de persistência e movimento lateral, então remedeie contas comprometidas e redefina credenciais.

graph TB %% Definições de classes classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Definições de nós tech_initial_access_phishing[“<b>Técnica</b> – <b>T1566 Phishing</b><br/><b>Descrição</b>: Atores de ameaça enviam e-mails elaborados que se passam por extratos da Previdência Social, faturas ou convites, contendo links maliciosos.”] class tech_initial_access_phishing technique tech_malicious_link[“<b>Técnica</b> – <b>T1204.001 Link Malicioso</b><br/><b>Descrição</b>: A vítima clica em um link malicioso que redireciona para uma página de download.”] class tech_malicious_link technique tech_malicious_file[“<b>Técnica</b> – <b>T1204.002 Arquivo Malicioso</b><br/><b>Descrição</b>: A vítima baixa e executa um arquivo executável disfarçado como documento ou convite.”] class tech_malicious_file technique op_user_execution((“Execução do Usuário”)) class op_user_execution operator tech_masquerading[“<b>Técnica</b> – <b>T1036 Disfarce</b><br/><b>Subtécnicas</b>: T1036.008 Disfarce de Tipo de Arquivo, T1036.003 Renomear Utilitários Legítimos, T1036.007 Extensão Dupla<br/><b>Descrição</b>: O payload é renomeado para parecer legítimo e evitar detecção.”] class tech_masquerading technique tech_rat_installation[“<b>Técnica</b> – <b>T1219 Instalação de Ferramenta de Acesso Remoto</b><br/><b>Descrição</b>: Instalação de um cliente ScreenConnect que fornece capacidades de monitoramento e gerenciamento remoto.”] class tech_rat_installation technique tool_screenconnect[“<b>Ferramenta</b> – <b>Nome</b>: ScreenConnect (ConnectWise Control)<br/><b>Descrição</b>: Software de acesso remoto utilizado como RAT.”] class tool_screenconnect tool tech_dynamic_dns[“<b>Técnica</b> – <b>T1568.002 Algoritmos de Geração de Domínios</b><br/><b>Descrição</b>: Utiliza serviços de DNS dinâmico e domínios gerados para comunicação C2.”] class tech_dynamic_dns technique tech_app_layer_dns[“<b>Técnica</b> – <b>T1071.004 Protocolo de Camada de Aplicação: DNS</b><br/><b>Descrição</b>: Tráfego C2 transmitido por meio de consultas DNS.”] class tech_app_layer_dns technique tech_app_layer_web[“<b>Técnica</b> – <b>T1071.001 Protocolo de Camada de Aplicação: Web</b><br/><b>Descrição</b>: Tráfego C2 transmitido por meio de protocolos web HTTPS.”] class tech_app_layer_web technique tech_web_service_bidirectional[“<b>Técnica</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/><b>Descrição</b>: Utiliza serviço web para comunicação C2 bidirecional.”] class tech_web_service_bidirectional technique tech_external_remote_services[“<b>Técnica</b> – <b>T1133 Serviços Remotos Externos</b><br/><b>Descrição</b>: Mantém persistência por meio de serviços remotos externos que permitem acesso contínuo.”] class tech_external_remote_services technique tech_hide_artifacts[“<b>Técnica</b> – <b>T1564.012 Ocultar Artefatos: Exclusões de Arquivo/Caminho</b><br/><b>Descrição</b>: Configura exclusões para ocultar arquivos maliciosos de ferramentas de segurança.”] class tech_hide_artifacts technique tech_passive_dns[“<b>Técnica</b> – <b>T1596.001 Pesquisa em Bancos de Dados Técnicos Abertos: DNS Passivo</b><br/><b>Descrição</b>: Utiliza dados de DNS passivo para descobrir ou registrar domínios maliciosos.”] class tech_passive_dns technique %% Conexões tech_initial_access_phishing –>|entrega| op_user_execution op_user_execution –>|utiliza| tech_malicious_link op_user_execution –>|utiliza| tech_malicious_file op_user_execution –>|leva a| tech_masquerading tech_masquerading –>|possibilita| tech_rat_installation tech_rat_installation –>|instala| tool_screenconnect tool_screenconnect –>|contata| tech_dynamic_dns tool_screenconnect –>|utiliza| tech_app_layer_dns tool_screenconnect –>|utiliza| tech_app_layer_web tool_screenconnect –>|utiliza| tech_web_service_bidirectional tech_dynamic_dns –>|suporta| tech_external_remote_services tech_external_remote_services –>|habilita| tech_passive_dns tech_dynamic_dns –>|suporta| tech_hide_artifacts

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    Um invasor cria um e-mail de phishing com um anexo nomeado Social_Security_Statement_redacted.exe que na verdade contém um instalador legítimo do ScreenConnect (ou qualquer carga útil). A vítima, acreditando ser um documento de finanças pessoais, clica duas vezes no arquivo. O sistema operacional lança o executável, gerando um evento de criação de processo onde o campo Imagem termina com o nome de arquivo malicioso. Este padrão exato corresponde à regra Sigma e deve gerar um alerta.

  • Script de Teste de Regressão:

    # --------------------------------------------------------------
# Script de simulação – aciona a regra "ScreenConnect Desonesto"
# --------------------------------------------------------------

# 1. Prepare uma carga útil benigna (por exemplo, calc.exe) e renomeie-a
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:TempSocial_Security_Statement_redacted.exe"

Copy-Item -Path $src -Destination $dst -Force

# 2. Opcionalmente, defina atributo oculto para imitar evasão (T1564.004)
attrib +h $dst

# 3. Execute a carga útil renomeada (simulando clique do usuário)
Start-Process -FilePath $dst

# 4. Espere brevemente para garantir o registro
Start-Sleep -Seconds 5

# 5. Saída de confirmação
Write-Host "Executed $dst – should generate detection telemetry."

  • Comandos de Limpeza:

    # Remova o executável que parece malicioso e clarifique o atributo
$file = "$env:TempSocial_Security_Statement_redacted.exe"
if (Test-Path $file) {
    attrib -h $file
    Remove-Item -Path $file -Force
    Write-Host "Cleanup complete: $file removed."
} else {
    Write-Host "File not found; nothing to clean."
}

Fim do Relatório

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente