ScreenConnect Desonesto: Táticas Comuns de Engenharia Social que Vimos em 2025
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaça estão entregando clientes maliciosos do ScreenConnect (monitoramento remoto e gerenciamento) através de iscas de engenharia social, como falsas declarações do Seguro Social, cartas de convite e documentos de fatura. As iscas são distribuídas via e-mails de phishing e páginas da web maliciosas, levando as vítimas a baixar executáveis do ScreenConnect com nomes alterados. Uma vez instalado, o RMM desonesto fornece ao invasor acesso remoto persistente ao host comprometido.
Investigação
A Huntress observou dezenas de incidentes entre janeiro e setembro de 2025 onde binários do ScreenConnect renomeados foram executados em endpoints em várias indústrias. O SOC coletou nomes de domínio associados, endereços IP e hashes de arquivos, observando o uso repetido de serviços de DNS dinâmico e padrões específicos de nomeação de iscas. Análises detalhadas de logs mostraram o cliente malicioso contatando domínios controlados por invasores para comando e controle.
Mitigação
As organizações devem fortalecer o treinamento de conscientização sobre segurança para identificar falsas declarações, faturas e arquivos de convite. Recomenda-se monitoramento contínuo das ferramentas de acesso remoto, restringir a execução de binários RMM não assinados e auditar conexões de rede com domínios maliciosos conhecidos. Mantenha o software RMM atualizado e na lista de permissões apenas instâncias autorizadas.
Resposta
Ao detectar um executável do ScreenConnect renomeado, isole o endpoint, colete o binário e o tráfego de rede associado e bloqueie o domínio C2 no firewall. Realize uma análise forense para identificar mecanismos de persistência e movimento lateral, então remedeie contas comprometidas e redefina credenciais.
Fluxo de Ataque
Detecções
Software alternativo de acesso / gerenciamento remoto (via sistema)
Visualizar
Software alternativo de acesso / gerenciamento remoto (via auditoria)
Visualizar
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior Incomum (via dns)
Visualizar
Software alternativo de acesso / gerenciamento remoto (via criação de processo)
Visualizar
IOCs (HashSha256) para detectar: ScreenConnect Desonesto: Táticas Comuns de Engenharia Social que Vimos em 2025
Visualizar
Instalação Desonesta do ScreenConnect via Iscas de Engenharia Social [Criação de Processo no Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
Um invasor cria um e-mail de phishing com um anexo nomeado Social_Security_Statement_redacted.exe que na verdade contém um instalador legítimo do ScreenConnect (ou qualquer carga útil). A vítima, acreditando ser um documento de finanças pessoais, clica duas vezes no arquivo. O sistema operacional lança o executável, gerando um evento de criação de processo onde o campoImagemtermina com o nome de arquivo malicioso. Este padrão exato corresponde à regra Sigma e deve gerar um alerta. -
Script de Teste de Regressão:
# -------------------------------------------------------------- # Script de simulação – aciona a regra "ScreenConnect Desonesto" # -------------------------------------------------------------- # 1. Prepare uma carga útil benigna (por exemplo, calc.exe) e renomeie-a $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Opcionalmente, defina atributo oculto para imitar evasão (T1564.004) attrib +h $dst # 3. Execute a carga útil renomeada (simulando clique do usuário) Start-Process -FilePath $dst # 4. Espere brevemente para garantir o registro Start-Sleep -Seconds 5 # 5. Saída de confirmação Write-Host "Executed $dst – should generate detection telemetry." -
Comandos de Limpeza:
# Remova o executável que parece malicioso e clarifique o atributo $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Cleanup complete: $file removed." } else { Write-Host "File not found; nothing to clean." }
Fim do Relatório