Golpe em Massa: Criminosos Criam Software Falso de Acesso Remoto para Invadir Empresas e Cobrar Mensalidade

Cuidado com o “TrustConnect”: A Nova Ameaça Digital que Se Passa por Aliada

Empresas em todo o mundo estão na mira de um golpe cibernético cada vez mais elaborado. Criminosos criaram um software falso de monitoramento e gerenciamento remoto (RMM), batizado de “TrustConnect”, com o objetivo de se infiltrar em sistemas corporativos. A ferramenta, que se apresenta como uma solução legítima, na verdade esconde um cavalo de Troia (RAT) com capacidade de controle total sobre os computadores das vítimas.

O que torna essa ameaça particularmente perigosa é o nível de sofisticação empregado pelos atacantes. Eles não apenas desenvolveram o software malicioso, mas também criaram um site com aparência profissional e até obtiveram um certificado digital legítimo, custeando milhares de dólares para dar credibilidade à sua fraude. O objetivo, segundo a Proofpoint, é enganar as empresas a assinar planos de assinatura mensais de US$ 300, pensando que estão adquirindo uma ferramenta de segurança, quando na verdade estão abrindo as portas para invasores.

Essa tática representa uma evolução significativa nas táticas de cibercrime. Tradicionalmente, criminosos abusavam de ferramentas RMM já existentes, mas agora eles estão construindo seus próprios produtos do zero, simulando empresas reais. Essa abordagem visa aumentar a confiança das vítimas e dificultar a identificação da fraude, tornando a detecção e a prevenção um desafio ainda maior para as equipes de segurança de TI.

A Engenharia por Trás do “TrustConnect”

A Proofpoint, empresa especializada em cibersegurança, detalhou em seu relatório como os criminosos se dedicaram a criar o “TrustConnect”. A criação de um site com domínio .com e a obtenção de um certificado digital, que exigiu validações rigorosas, demonstram um investimento considerável e um planejamento minucioso. Embora o certificado tenha sido revogado em 6 de fevereiro, qualquer arquivo assinado antes dessa data permanece válido, permitindo a disseminação do malware.

Uma vez instalado, o “TrustConnect” concede aos atacantes controle total sobre o computador da vítima, incluindo mouse, teclado e a capacidade de gravar e transmitir a tela. Além disso, oferece funcionalidades típicas de RMM, como transferência de arquivos e execução de comandos, facilitando a movimentação lateral na rede e a exfiltração de dados. A suspeita é que os criadores do “TrustConnect” sejam clientes do Redline, um popular roubador de informações (infostealer).

O Risco de Assinar Software Falso

O alerta principal é para as empresas que buscam otimizar o gerenciamento de suas redes com ferramentas RMM. A pesquisa da Proofpoint indica que é comum o uso de ferramentas legítimas por cibercriminosos, mas a criação de um produto completamente novo e falso é um avanço preocupante. A assinatura de planos mensais de US$ 300 pode parecer um investimento razoável para manter a infraestrutura de TI funcionando, mas no caso do “TrustConnect”, representa um pagamento direto aos invasores.

A validação do certificado digital, que passou por várias etapas, conferiu uma aparência de legitimidade ao software. No entanto, a revogação em fevereiro é um sinal de alerta. Empresas que ainda não foram afetadas devem redobrar a atenção na escolha e na validação de softwares de acesso remoto, verificando sempre a reputação do fornecedor e buscando por indícios de fraude antes de fechar contratos ou instalar qualquer ferramenta.

Como se Proteger Desta Nova Ameaça

A melhor defesa contra o “TrustConnect” e golpes similares é a vigilância constante e a educação em cibersegurança. As empresas devem implementar políticas rigorosas de aquisição e aprovação de softwares, com um processo de verificação detalhado para ferramentas de acesso remoto. A autenticação de múltiplos fatores (MFA) em todos os acessos, especialmente os remotos, é fundamental para mitigar os riscos caso as credenciais sejam comprometidas.

Além disso, é crucial manter todos os sistemas operacionais e softwares atualizados, pois muitas vezes as vulnerabilidades exploradas por malwares como o “TrustConnect” já possuem correções disponíveis. Treinamentos regulares para os colaboradores sobre as táticas de engenharia social e phishing também são essenciais, capacitando-os a identificar e reportar atividades suspeitas, protegendo assim a empresa contra acessos não autorizados.