Imagine que você é um diretor financeiro prestes a sair do trabalho quando recebe um e-mail urgente sobre uma suposta fatura vencida. A mensagem parece legítima, menciona uma nota fiscal eletrônica (NF-e) e traz um link para visualizar o “comprovante”. Você, zeloso com as contas da empresa, clica sem hesitar. Em segundos, sem perceber, acabou de entregar as chaves do seu sistema aos criminosos.
Este cenário descreve uma campanha de phishing altamente sofisticada que tem como alvo executivos brasileiros, explorando NF-es falsas para implantar um malware de acesso remoto conhecido como Remcos RAT, usando até técnicas de bypass do UAC para driblar as proteções do Windows.
Neste artigo, vamos dissecar como esse golpe funciona, desde o engodo da nota fiscal falsa até os artifícios técnicos como o User Account Control (UAC) bypass e a instalação sorrateira do Remcos RAT. Também discutiremos o impacto estratégico desse tipo de ataque para empresas brasileiras e como uma postura de segurança proativa e em camadas pode blindar sua organização.
Por fim, trazemos a visão da Asper Cibersegurança sobre essa ameaça e como o nosso Cyber Fusion Center (CFC) atua com detecção comportamental e resposta automatizada para proteger clientes 24/7.
Como funciona o golpe da NF-e falsa?
De acordo com pesquisadores da Cisco, essa campanha maliciosa está ativa desde pelo menos janeiro de 2025 e foca em empresas brasileiras, especialmente executivos de alto escalão e profissionais das áreas financeira e de RH.
Os criminosos utilizam a temática de NF-e (nota fiscal eletrônica), muito comum no Brasil para enganar as vítimas e conseguir acesso inicial aos sistemas corporativos.
Casos reais: Em maio de 2025, a Prefeitura de São Paulo alertou sobre um golpe envolvendo notas fiscais falsas que já havia causado prejuízos a dezenas de empresas.
Em outro caso recente, uma transportadora de Ribeirão Preto quase perdeu uma carga avaliada em R$ 53 mil após criminosos usarem documentos fiscais falsificados para desviar a mercadoria.
Estes exemplos mostram como qualquer organização, independente do porte, pode ser alvo desse tipo de fraude.
Veja a seguir as etapas típicas do ataque identificadas
Email fraudulento convincente
Os alvos recebem e-mails falsificados que aparentam vir de operadoras de telefonia ou instituições financeiras conhecidas. A mensagem alerta sobre uma suposta conta vencida ou cobrança pendente e inclui um link para gerar ou visualizar a NF-e relacionada. O uso de remetentes familiares e o tom de urgência visam induzir cliques sem muita reflexão.
Download de malware disfarçado
Ao clicar no link, a vítima é redirecionada para baixar um arquivo instalador disfarçado, nomeado de forma a parecer uma nota fiscal legítima. Ou seja, em vez de abrir um PDF inocente, o usuário acaba baixando um programa executável malicioso que se passa por documento da NF-e.
Instalação de acesso remoto clandestino
Se o usuário executar o instalador, o malware entra em ação. Nesta campanha, os invasores frequentemente instalam ferramentas de acesso remoto (RMM) comerciais, porém de forma não autorizada. Por exemplo, foram observados softwares legítimos como N-able RMM Remote Access e PDQ Connect sendo implantados dessa maneira.
Em condições normais, esses programas são usados por equipes de TI para suporte remoto. Nas mãos dos criminosos, entretanto, eles funcionam como backdoors que concedem controle irrestrito da máquina infectada.
Controle total da máquina
Com o agente RMM instalado, os atacantes passam a ter acesso remoto completo ao computador da vítima. Isso significa que podem executar comandos, manipular arquivos, registrar teclas digitadas (keylogging), espelhar a tela em tempo real e realizar diversas outras ações nefastas. Em suma, o criminoso assume o papel de um administrador oculto do seu sistema, com privilégios amplos.
Evasão e persistência
Para piorar, os responsáveis pela campanha tomam medidas para dificultar a detecção e manter acesso persistente.
Eles podem, por exemplo:
- Desativar o antivírus ou outras ferramentas de segurança no dispositivo comprometido, garantindo que suas ações permaneçam indetectáveis.
- Instalar novos softwares de RMM ou RAT adicionais (como o ScreenConnect ou o próprio Remcos), aproveitando que o tráfego dessas aplicações é reconhecido como legítimo pela rede e, portanto, menos suspeito.
- Abusar de períodos de avaliação gratuita desses softwares, quando a licença trial expira, eles simplesmente criam novas contas, evitando custos e continuando a operação.
Essa combinação de phishing temático (NF-e) com abuso de ferramentas legítimas torna o golpe especialmente sorrateiro. Mesmo usuários cuidadosos podem ser enganados, pois o link aponta para um serviço confiável (ex: Dropbox) e os programas instalados são assinados digitalmente por fornecedores legítimos.
Segundo o especialista da Cisco, o abuso de ferramentas comerciais de RMM por cibercriminosos aumentou constantemente nos últimos anos, justamente porque esses softwares são “assinados digitalmente por entidades reconhecidas e funcionam como um backdoor completo” nas mãos dos adversários. Ou seja, oferecem controle total com baixo risco de detecção tradicional.
Vale notar que os operadores desse golpe têm perfil de Initial Access Brokers (IAB) – grupos especializados em obter acessos iniciais em redes corporativas para depois vender ou repassar a outros criminosos.
Em alguns casos, eles negociam esse acesso com agentes de ameaças patrocinados por Estados ou quadrilhas de ransomware, elevando o potencial dano.
De fato, a campanha da NF-e falsa pode ser apenas o começo de um ataque maior: os IABs abrem a porta, e outros invasores (como gangues de ransomware) podem entrar para causar estragos ainda mais severos.
Bypass do UAC: contornando as proteções do Windows
Uma característica marcante dessa campanha é o uso de técnicas avançadas para escalar privilégios e permanecer furtivo no sistema alvo. Dentre elas, destaca-se o User Account Control (UAC) bypass. Mas o que isso significa na prática?
O UAC é aquele mecanismo de segurança do Windows que exibe uma janela de confirmação (o famoso “Deseja permitir que este aplicativo faça alterações?”) sempre que um programa tenta realizar mudanças administrativas no sistema. É uma camada extra de proteção, impedindo que malware obtenha privilégios elevados sem o consentimento do usuário. No entanto, os atacantes encontraram uma forma de burlar essa proteção sem alertar a vítima.
A técnica reportada recentemente envolve explorar um comportamento do Windows com nomes de pastas “similarmente confiáveis”. Os criminosos criam um diretório falso chamado C:\Windows (com um espaço em branco no final do nome) e colocam seus arquivos maliciosos ali.
Por incrível que pareça, o Windows interpreta “C:\Windows ” (com espaço) como um caminho diferente do legítimo C:\Windows – porém, por iniciar com o mesmo nome, pode enganar o sistema de controle de contas.
Assim, o malware se aloja nesse diretório falso e executa payloads a partir dele, mascarando-se como se fosse parte confiável do Windows, o que evita o disparo do prompt UAC. Em outras palavras, o sistema “pensa” que aquela execução é segura por estar em um local supostamente confiável, e não incomoda o usuário pedindo aprovação.
Essa forma de UAC bypass com “pastas fantasma” é extremamente engenhosa. Ao não apresentar janelas suspeitas ou avisos visíveis, o ataque consegue elevar privilégios silenciosamente, garantindo ao malware direitos de administrador sem levantar suspeitas. Com isso, os invasores podem efetuar mudanças profundas no sistema – como instalar serviços, drivers ou desabilitar proteções – sem qualquer intervenção do usuário.
Logo abaixo deixamos alguns exemplos e técnicas avançadas MITRE ATT&CK que também são muito exploradas pelos atacantes.
Remcos RAT: controle remoto invisível no seu computador
Além de abusar de ferramentas RMM legítimas, os criminosos frequentemente lançam mão de malwares dedicados de acesso remoto, conhecidos como RATs (Remote Access Trojans). Um dos mais citados nessa campanha é o Remcos RAT. Mas o que exatamente é o Remcos e por que ele é tão perigoso?
O Remcos (Remote Control Software) é um trojan de acesso remoto comercialmente disponível, amplamente utilizado por cibercriminosos em todo o mundo. Ele é distribuído abertamente como uma ferramenta de administração, mas suas funcionalidades são de um autêntico spyware: após infectar a máquina, permite ao operador controlá-la à distância, realizando praticamente tudo que o legítimo usuário poderia fazer.
Entre suas capacidades, destacam-se: capturar capturas de tela e áudio, registrar as teclas digitadas, roubar senhas armazenadas, acessar webcam, exfiltrar arquivos e, claro, executar comandos arbitrários. Em suma, com um RAT como o Remcos rodando oculto, sua máquina torna-se um terminal nas mãos do invasor.
Na campanha recente analisada em maio de 2025, o Remcos RAT foi entregue através de um loader chamado DBatLoader, especializado em infeccionar sistemas sem ser detectado.
O vetor inicial foi semelhante: um e-mail de phishing contendo um arquivo em anexo (compactado) ou link, o qual baixava o DBatLoader. Ao ser executado, esse loader disparava um script .cmd ofuscado que, por sua vez, carregava o Remcos diretamente na memória de um processo legítimo do Windows.
No caso observado, o processo escolhido foi o SndVol.exe, que é o controle de volume do Windows. Ou seja, o malware injeta o Remcos dentro de um processo do sistema confiável, fazendo com que o Windows veja a atividade maliciosa como se fosse parte do próprio mixer de som!
Essa técnica de injeção de processo permite ao Remcos operar às sombras, camuflado como um componente legítimo, escapando de antivírus baseados em detecção de processo.
Exemplo técnico – cadeia de infecção Remcos RAT
Um phishing entrega um arquivo compactado contendo o DBatLoader. Ao abrir, um script oculto executa o SndVol.exe (controle de volume do Windows) com o código do Remcos RAT injetado em sua memória. Assim, o trojan passa a rodar disfarçado como parte do sistema, evitando alarmes de segurança tradicionais. Imagem abaixo: análise de sandbox mostrando etapas do ataque.
Exemplo de análise sandbox (ANY.RUN) exibindo a cadeia de infecção: phishing por email → arquivo zip (DBatLoader) → execução de script .cmd ofuscado → processo SndVol.exe com Remcos RAT injetado. Técnicas como bypass do UAC e uso de processos do Windows tornam a detecção mais difícil.
Outra característica alarmante
No momento da análise inicial, as amostras desse ataque com Remcos não eram detectadas por nenhum antivírus no VirusTotal. Isso evidencia um alto nível de capacidade de evasão.
Mecanismos tradicionais de segurança, baseados em assinaturas ou reputação de arquivos, têm dificuldade em pegar ameaças que usam loaders, scripts ofuscados e se escondem em processos confiáveis. O Remcos, em particular, é bastante leve e pode funcionar fileless (apenas na memória), o que complica ainda mais a detecção.
Em resumo, o Remcos RAT entregue via essa campanha oferece aos atacantes uma presença persistente e invisível dentro da rede da vítima. Com ele, os criminosos podem espionar dados sensíveis, movimentar-se lateralmente pela rede corporativa e preparar terreno para ataques adicionais – inclusive sequestro de dados (ransomware) ou fraude financeira, dependendo dos objetivos.
Pior: por estar furtivo e inicialmente indetectável, o Remcos pode permanecer ativo por longos períodos, coletando informações privilegiadas (como credenciais de administrador, por exemplo) e minando a segurança da empresa de dentro para fora.
Impacto e riscos estratégicos para as empresas
Golpes de phishing como este não são apenas mais um aborrecimento cotidiano – eles representam ameaças estratégicas sérias aos negócios. Quando um executivo ou gestor de alto nível cai num desses esquemas, as consequências podem ir muito além daquele computador pessoal infectado.
Os detalhes desses impactos e riscos para grandes empresas
Comprometimento de dados sensíveis
Executivos lidam com informações confidenciais – planos de negócio, dados financeiros, negociações sigilosas, dados de clientes, etc. Com um RAT espionando a máquina, esses dados podem ser roubados e vazados.
Isso acarreta riscos legais (imagine uma violação de LGPD), prejuízo competitivo e danos à reputação da empresa caso informações privilegiadas venham a público.
Fraudes financeiras e danos econômicos
Com acesso ao computador e possivelmente à conta de e-mail de um diretor, atacantes podem orquestrar fraudes complexas.
Por exemplo, poderiam realizar um Business Email Compromise, enviando falsos comandos de pagamento para a equipe financeira em nome do executivo, desviando valores elevados. Ou então alterar boletos e notas fiscais reais para desviar pagamentos (tática infelizmente comum no Brasil).
Um acesso de administrador também permitiria aos criminosos instalar malware bancário ou modificar dados contábeis, causando perdas diretas. Não à toa, um ataque bem-sucedido pode custar milhões, e muitas vezes a falha de segurança por trás dele é algo básico, como um clique descuidado em um e-mail.
Interrupção operacional e ransomware
Conforme mencionado, há grande chance de esses acessos iniciais serem vendidos a gangues de ransomware. Imagine um atacante com controle total do notebook do CEO usando-o como trampolim para distribuir ransomware na rede inteira, backups são apagados, servidores criptografados, produção parada.
O resultado é paralisação das operações, possivelmente por dias, e um pedido de resgate milionário em criptomoedas. Mesmo que a empresa não pague, o tempo de inatividade e recuperação pode gerar prejuízos enormes, além do impacto de imagem.
Vale lembrar: criminosos frequentemente esperam momentos críticos (fim de semana, feriado, madrugada) para agir, quando a defesa pode estar distraída.
Ataques direcionados e espionagem corporativa
Se em vez de ransomware o acesso for repassado a grupos de espionagem cibernética (por exemplo, patrocinados por estados ou concorrentes inescrupulosos), o perigo assume outra forma.
Esses invasores podem usar o acesso do executivo para espionar comunicações internas, monitorar reuniões (via áudio/vídeo), e obter vantagens indevidas no mercado. Setores como financeiro, jurídico ou de P&D poderiam sofrer grandes impactos de um vazamento dessa natureza.
Em essência, o sucesso de uma campanha de phishing como essa pode comprometer a continuidade do negócio. Empresas inteiras já foram colocadas de joelhos por causa de um único clique equivocado de um funcionário – e aqui estamos falando de alvos de alto escalão, cujo acesso costuma ser amplo.
Não por acaso, estudos indicam que o erro humano está por trás de 95% das violações de dados. Ou seja, nossos executivos e colaboradores são ao mesmo tempo o ativo mais importante e o elo mais fraco da segurança.
Para os CISOs, CIOs e líderes de TI, fica claro que esse não é apenas um assunto técnico, mas estratégico. Um incidente dessa magnitude pode significar perda de vantagem competitiva, queda no valor das ações, multas regulatórias e erosão da confiança do mercado na marca.
Por isso, a questão a se fazer não é “será que seremos atacados?”, mas “estamos preparados para quando acontecer?”.
A preparação envolve tanto prevenção (educação dos usuários, políticas de segurança robustas, autenticação multifator, etc.) quanto detecção e resposta rápidas – pois, se um ataque conseguir passar pelas primeiras barreiras, precisamos identificá-lo e contê-lo antes que cause estragos irreversíveis.
Blindagem em camadas: a resposta proativa da Asper Cibersegurança
Diante de ameaças avançadas como a campanha de NF-e falsa com Remcos RAT, a melhor defesa é uma abordagem em camadas, proativa e integrada, exatamente o pilar da estratégia da Asper Cibersegurança.
Como MSSP (Managed Security Services Provider) especializada, a Asper atua para blindar os ativos digitais dos clientes através de múltiplos níveis de proteção e de uma postura antecipatória.
O que isso significa na prática
Segurança em camadas
Nenhuma solução isolada é infalível. Por isso, implementamos o conceito de defesa em camadas, onde diversas ferramentas e controles trabalham em conjunto para cobrir quaisquer brechas umas das outras.
Na prática, é como colocar várias linhas de defesa: se uma falhar ou for contornada (por exemplo, um filtro de e-mail que não detectou o phishing da NF-e), outra camada está pronta para barrar o ataque (por exemplo, um agente de endpoint bloqueando a instalação maliciosa).
Essa redundância planejada aumenta drasticamente a resiliência do ambiente de segurança. Na Asper, cobrimos todas as etapas do ciclo de vida da ameaça, prevenção, detecção, resposta e recuperação de forma orquestrada.
É como uma blindagem multicamadas envolvendo tecnologias de firewall, filtros anti-phishing, EDR/antivirus de próxima geração, monitoramento de rede, controle de aplicações, gestão de vulnerabilidades e muito mais, tudo gerenciado de forma centralizada.
Detecção comportamental 24×7
Uma das recomendações-chave da Cisco para enfrentar essa campanha foi investir em soluções de segurança com foco em detecção comportamental. Isso porque, conforme vimos, o malware pode passar despercebido por não conter uma assinatura conhecida (ele usa ferramentas legítimas ou técnicas fileless).
A Asper já adota esse princípio há anos em seu Cyber Fusion Center (CFC) – nosso centro de operações de segurança de nova geração. Operando 24×7, o CFC utiliza plataformas avançadas de SIEM/UEBA e EDR que analisam continuamente os eventos em busca de comportamentos anômalos, e não apenas IoCs estáticos.
Por exemplo, se um processo do Windows como o SndVol.exe de repente inicia conexões externas ou cria tarefas agendadas estranhas, nosso SOC detecta esse desvio de comportamento imediatamente. Essa visibilidade comportamental é crítica para identificar ameaças que se escondem em meio a atividades aparentemente legítimas.
Além disso, nosso time altamente certificado realiza Threat Hunting proativo, caçando indícios sutis de intrusão mesmo antes de qualquer alerta automático. Isso nos permite descobrir, por exemplo, aquele “C:\Windows ” com espaço no final, ou outros truques de UAC bypass incomuns, antes que possam ser utilizados de forma maliciosa.
Caso real: Um dos nossos clientes do setor financeiro teve tentativa de instalação de Nable RMM contida em menos de 2 min após alerta comportamental, que resultou em zero impacto operacional.
Resposta automatizada e orquestrada
Detectar rápido é vital, mas responder rápido é igualmente importante. No caso de um ataque com Remcos RAT, cada minuto conta para impedir que o invasor escale dentro da rede. Por isso, o Cyber Fusion Center da Asper incorpora SOAR (Security Orchestration, Automation and Response) e playbooks de resposta automática.
Assim que nossa detecção comportamental sinaliza uma atividade suspeita séria, por exemplo, a instalação inesperada de um software de acesso remoto fora dos padrões da empresa, ações de contenção são disparadas em segundos.
Podemos automaticamente isolar a máquina comprometida da rede, bloquear o usuário ou processo malicioso, encerrar sessões RDP/RAT ativas e iniciar varreduras adicionais, tudo sem esperar intervenção humana.
Essa resposta rápida e automatizada limita drasticamente o impacto: naquele cenário do CFO abrindo o e-mail, mesmo que ele tenha clicado, o estrago pode ser contido antes que se torne uma crise
E claro, nossa equipe de analistas entra em ação imediatamente após para analisar o incidente, eliminar completamente a ameaça e restaurar o ambiente à normalidade.
Abordagem Zero Trust e gestão de riscos contínua
A Asper também ajuda seus clientes a adotarem princípios modernos como Zero Trust, assumindo que nenhuma ação ou usuário é confiável por padrão. Isso significa aplicar controles rígidos de acesso (MFA, micro-segmentação de rede, restrições de privilégio) para que, mesmo que um executivo seja comprometido, o atacante não consiga passear livremente pela rede.
Paralelamente, nosso serviço é consultivo e proativo: não nos limitamos a “ficar olhando painéis verdes”. Diariamente, fornecemos insights sobre a postura de segurança do cliente, indicando pontos fracos e ajudando a ajustar configurações para fechar brechas antes que sejam exploradas.
Por exemplo, orientamos na criação de políticas de controle de aplicativos (impedindo execuções de programas fora do permitido, como o instalador da NF-e falsa) e melhoria de configurações do Windows que poderiam mitigar o truque do UAC bypass. Essa gestão contínua do risco garante que a segurança evolua junto com as ameaças – um mantra que repetimos: “Hackers evoluem todos os dias. Sua defesa também precisa evoluir.”.
Sob a ótica estratégica, contar com uma MSSP sólida como a Asper significa transformar a cibersegurança de um mero suporte técnico para um fator competitivo. Nosso objetivo é que nenhum alerta crítico passe despercebido, mesmo que o ataque ocorra às 3 da manhã de um feriado.
Sabemos que os ataques frequentemente acontecem quando o CISO já foi embora e todos acreditam que está “tudo tranquilo” – mas na verdade o inimigo está à espreita. Por isso, segurança não pode ser reativa, tem que ser proativa.
A atuação do nosso CFC 24/7 dá tranquilidade aos executivos de que há sempre uma equipe vigilante, pronta para agir em minutos diante de qualquer indício de incidente, evitando que uma intrusão pequena vire manchete de jornal no dia seguinte.
Conclusion
Os ataques que abusam de NFe e RATs como o Remcos representam uma evolução na ameaça contra executivos brasileiros. A combinação de engenharia social direcionada e ferramentas legítimas abusadas oferece baixo atrito para o invasor e alta taxa de sucesso.
A defesa eficaz requer educação do usuário, visibilidade comportamental e resposta automatizada, que são os pilares que a Asper ajuda seus clientes.
Apostar em soluções integradas, detecção comportamental e resposta ágil não é mais opcional, é mandatório para se antecipar aos “bandidos digitais” que inovam diariamente.
Na Asper Cibersegurança, nosso compromisso é justamente oferecer essa blindagem contra ameaças de forma eficaz e personalizada. Atuamos lado a lado com os CISOs e líderes de TI para que eles possam dormir tranquilos, sabendo que seus ambientes estão sendo monitorados por um SOC de nova geração e que há um time pronto para intervir antes que o pior aconteça.
Transformamos a cibersegurança de um mal necessário em um diferencial estratégico, trazendo confiança para os negócios em um mundo cada vez mais conectado.
Quer saber se sua empresa está vulnerável a esse tipo de ataque? Fale com nosso time técnico e descubra como blindar sua operação com o CFC da Asper.Uma simples conversa pode ser o primeiro passo para fortalecer suas defesas e garantir que, mesmo diante de golpes sofisticados como este, sua organização permaneça segura, resiliente e pronta para prosperar sem interrupções. Em cibersegurança, proatividade é tudo, e estamos aqui para guiar você nessa jornada de “Segurança em Camadas” rumo à tranquilidade digital.
