22 de junho de 2025

Imagine que você é um diretor financeiro prestes a sair do trabalho quando recebe um e-mail urgente sobre uma suposta fatura vencida. A mensagem parece legítima, menciona uma nota fiscal eletrônica (NF-e) e traz um link para visualizar o “comprovante”. Você, zeloso com as contas da empresa, clica sem hesitar. Em segundos, sem perceber, acabou de entregar as chaves do seu sistema aos criminosos.  Este cenário descreve uma campanha de phishing altamente sofisticada que tem como alvo executivos brasileiros, explorando NF-es falsas para implantar um malware de acesso remoto conhecido como Remcos RAT, usando até técnicas de bypass do UAC para driblar as proteções do Windows. Neste artigo, vamos dissecar como esse golpe funciona, desde o engodo da nota fiscal falsa até os artifícios técnicos como o User Account Control (UAC) bypass e a instalação sorrateira do Remcos RAT. Também discutiremos o impacto estratégico desse tipo de ataque para empresas brasileiras e como uma postura de segurança proativa e em camadas pode blindar sua organização.  Por fim, trazemos a visão da Asper Cibersegurança sobre essa ameaça e como o nosso Cyber Fusion Center (CFC) atua com detecção comportamental e resposta automatizada para proteger clientes 24/7. Como funciona o golpe da NF-e falsa? De acordo com pesquisadores da Cisco, essa campanha maliciosa está ativa desde pelo menos janeiro de 2025 e foca em empresas brasileiras, especialmente executivos de alto escalão e profissionais das áreas financeira e de RH.  Os criminosos utilizam a temática de NF-e (nota fiscal eletrônica), muito comum no Brasil para enganar as vítimas e conseguir acesso inicial aos sistemas corporativos.  Casos reais: Em maio de 2025, a Prefeitura de São Paulo alertou sobre um golpe envolvendo notas fiscais falsas que já havia causado prejuízos a dezenas de empresas.  Em outro caso recente, uma transportadora de Ribeirão Preto quase perdeu uma carga avaliada em R$ 53 mil após criminosos usarem documentos fiscais falsificados para desviar a mercadoria.  Estes exemplos mostram como qualquer organização, independente do porte, pode ser alvo desse tipo de fraude. Veja a seguir as etapas típicas do ataque identificadas Email fraudulento convincente Os alvos recebem e-mails falsificados que aparentam vir de operadoras de telefonia ou instituições financeiras conhecidas. A mensagem alerta sobre uma suposta conta vencida ou cobrança pendente e inclui um link para gerar ou visualizar a NF-e relacionada. O uso de remetentes familiares e o tom de urgência visam induzir cliques sem muita reflexão. Download de malware disfarçado Ao clicar no link, a vítima é redirecionada para baixar um arquivo instalador disfarçado, nomeado de forma a parecer uma nota fiscal legítima. Ou seja, em vez de abrir um PDF inocente, o usuário acaba baixando um programa executável malicioso que se passa por documento da NF-e. Instalação de acesso remoto clandestino Se o usuário executar o instalador, o malware entra em ação. Nesta campanha, os invasores frequentemente instalam ferramentas de acesso remoto (RMM) comerciais, porém de forma não autorizada. Por exemplo, foram observados softwares legítimos como N-able RMM Remote Access e PDQ Connect sendo implantados dessa maneira.  Em condições normais, esses programas são usados por equipes de TI para suporte remoto. Nas mãos dos criminosos, entretanto, eles funcionam como backdoors que concedem controle irrestrito da máquina infectada. Controle total da máquina Com o agente RMM instalado, os atacantes passam a ter acesso remoto completo ao computador da vítima. Isso significa que podem executar comandos, manipular arquivos, registrar teclas digitadas (keylogging), espelhar a tela em tempo real e realizar diversas outras ações nefastas. Em suma, o criminoso assume o papel de um administrador oculto do seu sistema, com privilégios amplos. Evasão e persistência Para piorar, os responsáveis pela campanha tomam medidas para dificultar a detecção e manter acesso persistente.  Eles podem, por exemplo:  Essa combinação de phishing temático (NF-e) com abuso de ferramentas legítimas torna o golpe especialmente sorrateiro. Mesmo usuários cuidadosos podem ser enganados, pois o link aponta para um serviço confiável (ex: Dropbox) e os programas instalados são assinados digitalmente por fornecedores legítimos.  Segundo o especialista da Cisco, o abuso de ferramentas comerciais de RMM por cibercriminosos aumentou constantemente nos últimos anos, justamente porque esses softwares são “assinados digitalmente por entidades reconhecidas e funcionam como um backdoor completo” nas mãos dos adversários. Ou seja, oferecem controle total com baixo risco de detecção tradicional. Vale notar que os operadores desse golpe têm perfil de Initial Access Brokers (IAB) – grupos especializados em obter acessos iniciais em redes corporativas para depois vender ou repassar a outros criminosos.  Em alguns casos, eles negociam esse acesso com agentes de ameaças patrocinados por Estados ou quadrilhas de ransomware, elevando o potencial dano.  De fato, a campanha da NF-e falsa pode ser apenas o começo de um ataque maior: os IABs abrem a porta, e outros invasores (como gangues de ransomware) podem entrar para causar estragos ainda mais severos. Bypass do UAC: contornando as proteções do Windows Uma característica marcante dessa campanha é o uso de técnicas avançadas para escalar privilégios e permanecer furtivo no sistema alvo. Dentre elas, destaca-se o User Account Control (UAC) bypass. Mas o que isso significa na prática? O UAC é aquele mecanismo de segurança do Windows que exibe uma janela de confirmação (o famoso “Deseja permitir que este aplicativo faça alterações?”) sempre que um programa tenta realizar mudanças administrativas no sistema. É uma camada extra de proteção, impedindo que malware obtenha privilégios elevados sem o consentimento do usuário. No entanto, os atacantes encontraram uma forma de burlar essa proteção sem alertar a vítima. A técnica reportada recentemente envolve explorar um comportamento do Windows com nomes de pastas “similarmente confiáveis”. Os criminosos criam um diretório falso chamado C:\Windows (com um espaço em branco no final do nome) e colocam seus arquivos maliciosos ali.  Por incrível que pareça, o Windows interpreta “C:\Windows ” (com espaço) como um caminho diferente do legítimo C:\Windows – porém, por iniciar com o mesmo nome, pode enganar o sistema de controle de contas.  Assim, o malware se aloja nesse diretório falso e executa payloads a partir dele, mascarando-se como se