Cloud security resource

Phishing com anydesk usa tarefas agendadas para acesso remoto invisível

Phishing contra o AnyDesk explora tarefas agendadas para permanecer invisível

Uma nova onda de ataques de phishing está convertendo o AnyDesk – uma ferramenta legítima e amplamente usada para acesso remoto – em uma verdadeira porta dos fundos permanente para espionagem digital. Em vez de espalhar malwares ruidosos, os criminosos abusam de softwares comuns de TI, se camuflam em rotinas administrativas e apagam quase todos os rastros após a infecção.

O alvo preferencial desta campanha são organizações do setor aeroespacial e de aviação na Rússia, atraídas por meio de um e-mail que simula uma fatura relacionada a projetos da área. A isca é simples e eficaz: uma cobrança aparentemente rotineira, enviada por uma instituição que, à primeira vista, parece legítima.

Segundo analistas da Seqrite, que documentaram detalhadamente o caso, tudo começa com um único anexo de e-mail – e termina com o AnyDesk totalmente configurado para acesso remoto não supervisionado, uma tarefa agendada garantindo persistência e praticamente nenhum vestígio aparente no sistema comprometido.

Engenharia social bem planejada

O e-mail malicioso se apresenta como se tivesse sido enviado por um instituto de pesquisa federal russo real, associado a atividades aeroespaciais. Para aumentar a credibilidade, o domínio de envio foi registrado para se parecer muito com o da organização verdadeira, explorando pequenas variações que passam despercebidas para a maioria dos usuários.

A mensagem não é direcionada a uma pessoa específica: é endereçada a destinatários genéricos ou “não divulgados”. Isso indica que a campanha é distribuída em massa para diversos alvos dentro do mesmo segmento, configurando um esforço de coleta de informações em larga escala.

Pesquisadores observaram semelhanças entre essas táticas e as de um grupo de ameaças conhecido como Rare Werewolf, também chamado Librarian Ghouls, que tradicionalmente mira empresas industriais, de engenharia e do setor aeroespacial em países como Rússia, Bielorrússia e Cazaquistão.

Anexo protegido por senha: driblando filtros de e-mail

O vetor inicial é um anexo em formato compactado, apresentado como uma “fatura importante”. O arquivo está protegido por senha, e a senha é informada no corpo do e-mail. Esse artifício é crucial para os invasores: muitos mecanismos de segurança automática não conseguem inspecionar o conteúdo interno de arquivos protegidos por senha, o que reduz significativamente a chance de detecção no gateway de e-mail.

Uma vez que a vítima digita a senha e descompacta o arquivo, acredita estar abrindo um documento financeiro legítimo. Na realidade, está executando a primeira etapa da cadeia de infecção.

Instalador legítimo, propósito malicioso

Dentro do pacote, os criminosos utilizam um instalador criado com uma ferramenta de empacotamento legítima, bastante usada por administradores de TI para distribuir software em ambientes corporativos. À primeira vista, nada sugere atividade maliciosa.

Quando esse instalador é executado, ele realiza duas ações em paralelo:

1. Exibe um arquivo PDF falso, que simula a fatura esperada, mantendo a vítima ocupada e tranquila.
2. Instala, em uma pasta oculta do sistema, os componentes necessários para a próxima fase da infecção.

Essa combinação de um PDF convincente e o uso de ferramentas legítimas dificulta tanto a detecção automática quanto o estranhamento do usuário.

Cadeia de scripts em lote

Após a instalação inicial, entra em cena uma sequência de arquivos em lote (scripts .bat) que são executados um após o outro. Essa cadeia automatiza todo o restante do ataque.

Entre as ações executadas pelos scripts estão:

– Conexão a um servidor remoto controlado pelos atacantes.
– Download de um segundo arquivo compactado e novamente protegido por senha, contendo a carga útil principal.
– Extração silenciosa desse pacote em diretórios discretos do sistema.

Dentro desse segundo arquivo, os analistas identificaram pelo menos quatro componentes principais:

– Uma cópia portátil do AnyDesk.
– Uma ferramenta de linha de comando para envio de e-mails via SMTP.
– Um utilitário de compressão para criar e manipular arquivos compactados.
– Um pequeno programa chamado Tray Minimizer, usado para esconder janelas de aplicativos na bandeja do sistema.

Evasão de sandbox e configuração furtiva do AnyDesk

Os scripts incluem uma pausa de cerca de um minuto antes de ativar as etapas mais sensíveis. Essa espera aparentemente simples tem um propósito estratégico: atrasar a execução para ultrapassar o tempo limite de muitas soluções de análise automática (sandboxes), que executam arquivos suspeitos por um período curto e, em seguida, emitem um veredito.

Após essa espera, o script inicia a configuração furtiva do AnyDesk. Entre as ações automatizadas estão:

– Configuração de uma senha pré-definida de acesso remoto.
– Ativação do modo não supervisionado, permitindo conexões sem que o usuário precise aceitar convites ou veja avisos na tela.
– Inicialização silenciosa do AnyDesk em segundo plano, sem janelas evidentes ou ícones chamativos.

Na prática, o computador passa a ter uma “porta de serviço” permanente aberta para o atacante, usando um programa amplamente aceito e normalmente permitido em ambientes corporativos.

Exfiltração de configurações por e-mail

Depois que o AnyDesk está instalado e configurado, o script ainda realiza uma etapa crítica: a coleta e o envio das configurações da ferramenta para os operadores do ataque.

Os arquivos de configuração, certificados e parâmetros de conexão do AnyDesk são compactados em um novo arquivo, também protegido por senha. Em seguida, esse pacote é enviado por e-mail para um endereço controlado pelos atacantes, utilizando um cliente de e-mail SMTP de linha de comando, igualmente legítimo.

Com esse arquivo em mãos, os criminosos têm tudo o que precisam para administrar ou replicar a sessão de acesso remoto em outros ambientes, sem depender de novas interações com a vítima.

Persistência por meio de tarefas agendadas

Para garantir que o acesso remoto permaneça ativo mesmo após reinicializações ou logoff do usuário, os atacantes configuram uma tarefa agendada no sistema operacional.

Essa tarefa é cuidadosamente disfarçada para se parecer com um processo de atualização de rotina ou manutenção de software. Na prática, sempre que a vítima faz login no computador, a seguinte sequência ocorre:

– O Tray Minimizer é executado, assegurando que as janelas dos aplicativos permaneçam ocultas na bandeja do sistema.
– O AnyDesk é iniciado em segundo plano, utilizando as configurações previamente definidas.
– Caso algum processo associado seja encerrado, a tarefa pode disparar novamente, restabelecendo o acesso.

Esse mecanismo de persistência explora funcionalidades legítimas do próprio sistema operacional, dificultando sua identificação por usuários comuns e, em muitos casos, por ferramentas de segurança menos sofisticadas.

Limpeza de rastros e ocultação da intrusão

Um aspecto marcante dessa campanha é o esforço em eliminar evidências da infecção. Após configurar o AnyDesk, criar a tarefa agendada e enviar as configurações para o atacante, os scripts entram em uma fase de “limpeza”.

Entre as ações observadas estão:

– Exclusão dos arquivos compactados intermediários.
– Remoção de scripts temporários utilizados ao longo da cadeia.
– Eventual apagamento de logs e artefatos visíveis criados no processo.

O objetivo é deixar no sistema apenas aquilo que parece absolutamente legítimo: o AnyDesk instalado de forma discreta, uma tarefa agendada aparentemente inofensiva e um conjunto mínimo de arquivos residuais, muitas vezes indistinguíveis de uso corporativo comum.

Perfil de ameaça e possíveis responsáveis

Embora os analistas não tenham atribuído definitivamente a campanha a um grupo específico, as técnicas, o foco em setores estratégicos e a área geográfica destacada lembram operações anteriores atribuídas ao grupo Rare Werewolf / Librarian Ghouls.

Esse tipo de ator costuma perseguir objetivos de espionagem industrial e coleta de informações sensíveis, em vez de extorsão direta ou ganhos financeiros imediatos. O controle silencioso e duradouro de estações de trabalho em empresas aeroespaciais se encaixa nesse perfil, permitindo:

– Monitoramento contínuo de projetos e documentos.
– Coleta gradual de credenciais e acessos internos.
– Mapeamento de redes corporativas para fases futuras de ataque.

Indicadores de Comprometimento (IoCs) e sinais de alerta

Embora detalhes técnicos específicos (como hashes e domínios) variem com o tempo, alguns indicadores gerais podem ajudar na detecção:

– Recebimento de e-mails com faturas inesperadas envolvendo temas aeroespaciais ou industriais, especialmente se o remetente for “novo” ou levemente diferente do domínio oficial.
– Anexos compactados protegidos por senha, com a senha enviada no corpo do e-mail.
– Execução recente de instaladores que exibem PDFs enquanto instalam silenciosamente outros componentes.
– Criação de tarefas agendadas novas, com nomes genéricos de “atualização” ou “manutenção”, especialmente próximas ao horário de abertura do anexo.
– Presença de cópias portáteis do AnyDesk em diretórios incomuns ou ocultos, fora de caminhos padrões de instalação.

Como se proteger de campanhas semelhantes

Diante de ataques que abusam de ferramentas legítimas, confiar apenas em antivírus tradicional é insuficiente. Algumas medidas práticas podem reduzir drasticamente o risco:

1. Política rígida para anexos protegidos por senha
– Tratar anexos com senha como arquivos de alto risco, exigindo verificação manual e confirmação direta com o suposto remetente por um canal independente.

2. Controle de software de acesso remoto
– Inventariar e padronizar quais ferramentas de acesso remoto são permitidas na empresa.
– Bloquear ou pelo menos monitorar estritamente instalações portáteis e não autorizadas de softwares como AnyDesk, TeamViewer e similares.

3. Monitoramento de tarefas agendadas
– Auditar periodicamente as tarefas agendadas em estações e servidores.
– Investigar novas tarefas criadas sem solicitação explícita ou sem corresponder a atualizações conhecidas de fornecedores.

4. Privilégios mínimos para usuários
– Evitar que contas de usuário comuns tenham privilégios que permitam instalar software ou criar tarefas agendadas sem supervisão.
– Utilizar contas administrativas separadas e com uso restrito.

5. Treinamento de conscientização
– Incluir cenários de phishing com anexos protegidos por senha nos treinamentos periódicos de segurança.
– Enfatizar que faturas, cobranças e comunicações financeiras imprevistas sempre devem ser tratadas com desconfiança, mesmo quando parecem vir de parceiros conhecidos.

Lições para equipes de segurança

Para profissionais de segurança da informação, essa campanha reforça alguns pontos-chave:

Abuso de ferramentas legítimas é tendência consolidada: ataques cada vez mais evitam malwares exclusivos, preferindo softwares comuns para se esconder em meio ao tráfego e às rotinas diárias.
Persistência baseada em recursos nativos: agendadores de tarefas, scripts em lote e ferramentas administrativas do próprio sistema tornam a detecção baseada em assinaturas muito menos eficaz.
Foco em visibilidade e correlação: é essencial ter capacidade de correlacionar eventos – como abertura de anexos suspeitos, instalação de novos binários, criação de tarefas e conexões de saída incomuns – para identificar cadeias de ataque.

Ao transformar o AnyDesk em um backdoor sigiloso, os atacantes demonstram que, muitas vezes, não é necessário desenvolver malwares sofisticados para comprometer ambientes críticos. Basta entender profundamente como as empresas usam suas ferramentas legítimas e subvertê-las com alguma criatividade e paciência.

Rever políticas de uso de software de acesso remoto, fortalecer controles de e-mail e investir em monitoramento comportamental deixa de ser uma recomendação opcional e passa a ser uma necessidade para qualquer organização que queira resistir a esse tipo de ameaça silenciosa e persistente.