Se você receber um convite para um evento por e-mail, verifique se ele é legítimo antes de confirmar sua presença, pois você pode não ser realmente convidado para nada. O Malwarebytes Labs identificou um novo golpe no qual os agentes de ameaças estão usando convites para festas para induzir os usuários a instalar uma ferramenta de acesso remoto (RAT) que lhes dá controle total sobre os dispositivos infectados. (Esta campanha específica parece estar limitada ao Reino Unido, mas tácticas semelhantes poderiam facilmente espalhar-se.)
Esses convites maliciosos contêm um instalador do ScreenConnect
O golpe começa com um convite por e-mail de aparência inócua, com uma vibração informal de “Salve a data”, que pode parecer vir de um amigo ou conhecido. A mensagem contém um link para “Ver convite” para detalhes do evento. Se você clicar, você chegará a uma página de destino com um cabeçalho em negrito “Você está convidado” e um botão para baixar seu convite, mas na verdade não precisa realizar nenhuma ação adicional – seu navegador aciona automaticamente o download de um arquivo .msi, que na verdade não é um convite para uma festa ou um formulário de RSVP, mas um instalador.
O MSI instala silenciosamente o ScreenConnect Client, uma ferramenta legítima de suporte de TI que permite acesso remoto à máquina do usuário. Depois que essa conexão for estabelecida, os invasores poderão ver sua tela, controlar o mouse e o teclado e fazer upload ou download de arquivos, mesmo se você reiniciar o computador. Tudo isso acontece em segundo plano, sem indicadores óbvios de que uma ferramenta de acesso remoto foi instalada e está em execução, portanto é improvável que as vítimas tenham motivos para preocupação.
Você deve conhecer esses sinais de alerta de acesso remoto
Como aponta o Malwarebytes, este esquema é bem sucedido porque se baseia no comportamento humano normal em torno de uma situação aparentemente de baixo risco: abrir um convite para um evento. O que é incomum é que há pouca pressão ou urgência na mensagem inicial. Em vez disso, a landing page tem linguagem como “um amigo lhe enviou um convite” e “Abri o meu e foi tão fácil”, que é uma forma de prova social que orienta os usuários a realizarem a ação desejada.
Você deve estar sempre atento a convites não solicitados enviados por e-mail normal com um link para um site externo, bem como a qualquer comunicação que solicite o download ou instalação de software. Hoje em dia, os convites são comumente entregues por meio de aplicativos e serviços digitais como Partiful, Paperless Post, Evite ou Apple Invitations, que geralmente são mais confiáveis do que e-mails aleatórios com texto com hiperlink. Se não tiver certeza se o convite é real, verifique com o remetente por meio de outro canal antes de clicar ou baixar qualquer coisa.
O que você acha até agora?
Conforme mencionado, as vítimas deste golpe podem não perceber imediatamente que um RAT foi instalado em seus dispositivos. Mas existem alguns sinais de alerta, como movimentos inexplicáveis do cursor ou janelas abrindo ou fechando sozinhas. Você pode verificar se há um arquivo chamado “RSVPPartyInvitationCard.msi” em sua máquina ou um serviço chamado ScreenConnect Client com caracteres aleatórios adicionais no título.
Se você já baixou o ScreenConnect a partir de um convite malicioso, o Malwarebytes recomenda desconectar-se da Internet e desinstalar o programa imediatamente. Execute uma verificação de segurança para verificar se há malware em seu dispositivo e altere senhas importantes em um dispositivo separado.
