Hackers têm como alvo os recursos do ScreenConnect para invasões de rede

Hackers têm como alvo os recursos do ScreenConnect para invasões de rede

Um aumento nos ataques cibernéticos que exploram ferramentas de monitoramento e gerenciamento remoto (RMM) para acesso inicial via phishing foi observado por pesquisadores de segurança cibernética.

De acordo com as novas descobertas do projeto de pesquisa DarkAtlas, grupos de ameaças persistentes avançadas (APT) estão abusando de plataformas populares de RMM, incluindo AnyDesk, ConnectWise ScreenConnect e Atera, para obter controle não autorizado de sistemas.

Embora o AnyDesk tenha se tornado mais fácil de detectar, levando muitos invasores a se afastarem dele, o ScreenConnect recentemente ganhou força entre os adversários.

Desenvolvido pela ConnectWise, o ScreenConnect foi projetado para permitir que os administradores de TI implantem tarefas, gerenciem dispositivos e forneçam suporte remoto em vários sistemas operacionais, incluindo Windows, macOS, Linux, iOS e Android.

Os pesquisadores descobriram que os agentes de ameaças estão explorando os recursos legítimos do ScreenConnect, como acesso autônomo, funcionalidade VPN, integração da API REST e transferência de arquivos, para estabelecer persistência e mover-se lateralmente dentro de redes comprometidas.

Como os invasores abusam do ScreenConnect

Durante a instalação, o cliente ScreenConnect é executado principalmente na memória, deixando poucos rastros no disco e evitando verificações antivírus básicas.

A pesquisa observou que os invasores usam o console de gerenciamento da plataforma para gerar URLs personalizados ou links de convite – ferramentas originalmente destinadas a simplificar o acesso remoto. Esses links geralmente são reaproveitados para phishing, atraindo as vítimas para a instalação inadvertida de clientes maliciosos do ScreenConnect.

Uma vez implantado, o binário do cliente, comumente chamado de ScreenConnect.WindowsClient.exe, registra-se como um serviço do Windows, fornecendo conectividade remota persistente.

Os investigadores também descobriram que arquivos de configuração como user.config e system.config armazenar nomes de host, mapeamentos de IP e chaves criptografadas, que podem ser usadas para rastrear conexões com domínios suspeitos.

Leia mais sobre a exploração de ferramentas de acesso remoto: Campanhas de phishing abandonam ferramentas RMM para acesso remoto

Implicações para os defensores

A pesquisa do DarkAtlas identificou os principais logs de eventos gerados pelo ScreenConnect durante a operação, incluindo o ID de evento de segurança 4573 e os eventos 100 e 101 do Application Log.

Eles fornecem indicadores valiosos para equipes forenses digitais e de resposta a incidentes. Curiosamente, os dados de bate-papo entre operadores e vítimas não são armazenados em disco, mas na memória, tornando a aquisição de memória essencial durante as investigações.

O relatório conclui que os pontos fortes do ScreenConnect como uma plataforma RMM legítima – sua flexibilidade e amplo acesso ao sistema – também são o que o torna tão atraente para os invasores.

Para combater essas ameaças, os defensores devem monitorar de perto:

Como o Pesquisa DarkAtlas enfatizado, entender e detectar esses sinais sutis de uso indevido do ScreenConnect é vital para uma análise forense digital eficaz e resposta a incidentes (DFIR) e caça a ameaças.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.