Pesquisadores da Cisco Talos emitiram um alerta sobre uma nova campanha de phishing direcionada a empresas brasileiras. Desde janeiro de 2025, cibercriminosos vêm utilizando e-mails falsos que simulam notificações de Nota Fiscal Eletrônica (NF-e) para enganar vítimas e obter acesso não autorizado a redes corporativas.
O golpe é sofisticado e se apoia em um detalhe preocupante: o uso de softwares legítimos de acesso remoto, como N-able RMM Remote Access e PDQ Connect. Os criminosos aproveitam as versões de teste gratuitas dessas ferramentas, que muitas vezes passam despercebidas por sistemas de segurança por serem assinadas digitalmente por fornecedores confiáveis.
Segundo Guilherme Venere, pesquisador da Cisco Talos, os e-mails maliciosos contêm links hospedados no Dropbox que direcionam os usuários para o download desses programas. Uma vez instalados, os hackers ganham acesso remoto ao sistema da vítima e instalam outros programas como ScreenConnect, ampliando o controle sobre os dispositivos infectados.
Os principais alvos da campanha são executivos C-level, profissionais das áreas financeira e de recursos humanos, e colaboradores de instituições públicas e de ensino. A operação foi atribuída a corretores de acesso inicial (IABs), criminosos especializados em invadir sistemas corporativos e revendê-los para outros grupos.
Em resposta à descoberta, a empresa N-able desativou contas de avaliação associadas à atividade maliciosa. No entanto, o alerta permanece: o uso de softwares comerciais legítimos para fins maliciosos está em ascensão. Como essas ferramentas são amplamente utilizadas no ambiente corporativo, elas oferecem aos invasores uma forma discreta e eficaz de infiltrar-se nas redes.
Essa campanha reflete uma tendência global de ataques cada vez mais complexos, que combinam engenharia social com o uso de plataformas confiáveis para distribuir malware, roubar credenciais e espionar sistemas corporativos. Outros exemplos recentes incluem:
- Disseminação do trojan Grandoreiro por hackers sul-americanos no México e na Costa Rica;
- Hospedagem de malwares na plataforma GetShared;
- Exploração de falhas antigas em documentos do Word, como a CVE-2017-11882;
- Ataques com o trojan Ratty RAT na Europa;
- Phishing com arquivos PDF e SVG maliciosos hospedados no OneDrive;
- Abuso da ferramenta TryCloudflare para distribuir o malware AsyncRAT.
De acordo com Yuval Guri, pesquisador da empresa Intezer, mesmo com o avanço das soluções de cibersegurança, os cibercriminosos continuam encontrando formas criativas de burlar defesas. Por isso, é essencial que as empresas invistam em educação digital, atualizem constantemente suas ferramentas de proteção e monitorem acessos remotos com atenção redobrada.
