SOC Prime Bias: Médio

05 Jan 2026 14:56 UTC

ScreenConnect Desonesto: Táticas Comuns de Engenharia Social que Vimos em 2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
ScreenConnect Desonesto: Táticas Comuns de Engenharia Social que Vimos em 2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores de ameaça estão entregando clientes maliciosos do ScreenConnect (monitoramento remoto e gerenciamento) através de iscas de engenharia social, como falsas declarações do Seguro Social, cartas de convite e documentos de fatura. As iscas são distribuídas via e-mails de phishing e páginas da web maliciosas, levando as vítimas a baixar executáveis do ScreenConnect com nomes alterados. Uma vez instalado, o RMM desonesto fornece ao invasor acesso remoto persistente ao host comprometido.

Investigação

A Huntress observou dezenas de incidentes entre janeiro e setembro de 2025 onde binários do ScreenConnect renomeados foram executados em endpoints em várias indústrias. O SOC coletou nomes de domínio associados, endereços IP e hashes de arquivos, observando o uso repetido de serviços de DNS dinâmico e padrões específicos de nomeação de iscas. Análises detalhadas de logs mostraram o cliente malicioso contatando domínios controlados por invasores para comando e controle.

Mitigação

As organizações devem fortalecer o treinamento de conscientização sobre segurança para identificar falsas declarações, faturas e arquivos de convite. Recomenda-se monitoramento contínuo das ferramentas de acesso remoto, restringir a execução de binários RMM não assinados e auditar conexões de rede com domínios maliciosos conhecidos. Mantenha o software RMM atualizado e na lista de permissões apenas instâncias autorizadas.

Resposta

Ao detectar um executável do ScreenConnect renomeado, isole o endpoint, colete o binário e o tráfego de rede associado e bloqueie o domínio C2 no firewall. Realize uma análise forense para identificar mecanismos de persistência e movimento lateral, então remedeie contas comprometidas e redefina credenciais.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    Um invasor cria um e-mail de phishing com um anexo nomeado Social_Security_Statement_redacted.exe que na verdade contém um instalador legítimo do ScreenConnect (ou qualquer carga útil). A vítima, acreditando ser um documento de finanças pessoais, clica duas vezes no arquivo. O sistema operacional lança o executável, gerando um evento de criação de processo onde o campo Imagem termina com o nome de arquivo malicioso. Este padrão exato corresponde à regra Sigma e deve gerar um alerta.

  • Script de Teste de Regressão:

    # --------------------------------------------------------------
    # Script de simulação – aciona a regra "ScreenConnect Desonesto"
    # --------------------------------------------------------------
    
    # 1. Prepare uma carga útil benigna (por exemplo, calc.exe) e renomeie-a
    $src = "$env:SystemRootSystem32calc.exe"
    $dst = "$env:TempSocial_Security_Statement_redacted.exe"
    
    Copy-Item -Path $src -Destination $dst -Force
    
    # 2. Opcionalmente, defina atributo oculto para imitar evasão (T1564.004)
    attrib +h $dst
    
    # 3. Execute a carga útil renomeada (simulando clique do usuário)
    Start-Process -FilePath $dst
    
    # 4. Espere brevemente para garantir o registro
    Start-Sleep -Seconds 5
    
    # 5. Saída de confirmação
    Write-Host "Executed $dst – should generate detection telemetry."
  • Comandos de Limpeza:

    # Remova o executável que parece malicioso e clarifique o atributo
    $file = "$env:TempSocial_Security_Statement_redacted.exe"
    if (Test-Path $file) {
        attrib -h $file
        Remove-Item -Path $file -Force
        Write-Host "Cleanup complete: $file removed."
    } else {
        Write-Host "File not found; nothing to clean."
    }

Fim do Relatório