SSA usa e-mails falsos para ataque com malware ScreenConnect RAT
Washington, EUA — InkDesign News — Nas últimas semanas de 2025, especialistas em segurança cibernética detectaram uma campanha sofisticada utilizando e-mails falsos da Administração da Seguridade Social dos EUA (SSA) para disseminar um Trojan de Acesso Remoto (RAT) denominado ScreenConnect, vulnerabilidade explorada para controle total dos dispositivos das vítimas.
Incidente e vulnerabilidade
Cibercriminosos têm enviado mensagens fraudulentas alegando que o “Social Security Statement está disponível”, induzindo os destinatários a baixar arquivos maliciosos com nomenclaturas enganosas, como “ReceiptApirl2025Pdfc.exe” e “SSAstatment11April.exe”. Estes arquivos instalam o ScreenConnect RAT, ferramenta legítima para suporte remoto, porém adulterada para finalidade maliciosa. Segundo a análise do grupo Molatori, que utiliza o RAT para fraudes financeiras, a campanha foi intensificada próximo às eleições presidenciais dos EUA em 2024.
“While the exact structure of the email changes from sample to sample, the campaign consistently delivers an embedded link to a ConnectWise RAT installer,”
(“Embora a estrutura exata do e-mail mude de amostra para amostra, a campanha entrega consistentemente um link incorporado para um instalador do ConnectWise RAT,”)— Cofense, Pesquisa em Segurança
Os e-mails possuem métodos evasivos, como envio por domínios comprometidos e incorporação do conteúdo em imagens, o que dificulta a detecção por filtros antispam e antivírus convencionais que reconhecem o ScreenConnect como software legítimo. Esta técnica evita bloqueios automáticos, ampliando o alcance das investidas.
Impacto e resposta
Uma vez instalado, o RAT permite o acesso remoto completo dos atacantes, viabilizando a exfiltração de informações pessoais sensíveis, como dados bancários e documentos de identificação. Além disso, a persistência do malware abre portas para instalação de outras ameaças, agravando os riscos à integridade dos sistemas comprometidos.
“Cybercriminals are using fake Social Security Administration emails to distribute the ScreenConnect RAT (Remote Access Trojan) and compromise user computers.”
(“Cibercriminosos estão usando e-mails falsos da Administração da Seguridade Social para distribuir o Trojan de Acesso Remoto ScreenConnect e comprometer computadores dos usuários.”)— Malwarebytes, Análise de Ameaças
Especialistas das organizações Malwarebytes e Cofense alertaram para o aumento dessas campanhas, que ocorreram em picos notórios próximos à temporada eleitoral, com impacto significativo no cenário de segurança digital norte-americano e internacional.
Mitigações recomendadas
Recomenda-se atualizar políticas de segurança de e-mail para identificar domínios comprometidos e reforçar filtros que detectem conteúdo incorporado em imagens. A implantação de soluções avançadas de comportamento e heurística pode identificar tentativas de instalação do RAT mesmo em presença do software legítimo ScreenConnect. Usuários devem ser orientados a não abrir anexos ou clicar em links suspeitos, especialmente oriundos de remetentes não verificados.
Empresas devem adotar autenticação multifatorial, restringir permissões de execução de arquivos baixados e aplicar atualizações constantes aos sistemas operacionais e softwares de segurança para mitigar vetores similares de ataques.
O monitoramento contínuo aliado ao treinamento de conscientização sobre phishing são barreiras essenciais para reduzir a superfície de ataque e prevenir comprometimentos futuros.
Embora as defesas tenham avançado, resta um risco residual eminente dada a evolução das técnicas de engenharia social. O fortalecimento das camadas de proteção, aliado ao desenvolvimento de respostas rápidas continua sendo crucial para conter ameaças sofisticadas como o ScreenConnect RAT.
Fonte: (Hack Read – Segurança Cibernética)
