Campanha de phishing no Zoom: como os criminosos falsificam alertas da SSA e se aproveitam do ConnectWise ScreenConnect

Janeiro 30, 2026
Kaseya
Phishing

Os ataques de phishing atuais abusam cada vez mais de plataformas SaaS confiáveis, ferramentas de colaboração conhecidas e softwares de TI legítimos para se camuflarem à vista de todos. Ao se misturarem aos fluxos de trabalho cotidianos das empresas e aproveitarem serviços nos quais os usuários já confiam, os invasores dificultam a detecção, contornam controles básicos de segurança e aumentam drasticamente as chances de sucesso. O incidente a seguir é um exemplo de como essa abordagem de “living-off-the-land” está sendo usada para realizar campanhas de phishing altamente convincentes em grande escala.

Em junho de 2025, INKY uma campanha de phishing em cadeia que se valia da infraestrutura legítima de notificações do Zoom para distribuir e-mails contendo links para um documento do Zoom (docs.zoom.us) que hospedava um download malicioso. A campanha tinha como alvo os beneficiários da Administração da Previdência Social dos EUA (SSA), falsificando alertas da SSA e aproveitando a confiança associada às comunicações do Zoom.

Proteja-se contra e-mails maliciosos com o Kaseya Inky

Bloqueie ameaças avançadas de phishing e por e-mail antes que elas cheguem aos usuários com INKY

Começar a usar

Depois que os destinatários clicavam no link contido no documento do Zoom, eram solicitados a baixar o chamado“SSA Desktop App”, que na verdade era uma versão renomeada do cliente de acesso remoto ConnectWise ScreenConnect (anteriormente conhecido como ConnectWise Control). Esse ataque ilustra como os agentes maliciosos utilizam plataformas SaaS legítimas (Zoom) e ferramentas de suporte remoto (ScreenConnect) como malware do tipo “living-off-the-land”.

The email was sent from “SSA Notify <noreply‑[email protected]>” with the subject line “SSA Alert.” It passed SPF, DKIM and DMARC checks because it was delivered via Zoom’s Events infrastructure, allowing it to bypass unsophisticated email filters. The body of the email included the heading “Earnings Record Review Required” and warned the recipient of a potential discrepancy in their 2025 earnings record. It instructed the recipient to use a desktop or laptop, download a “secure SSA Desktop App” and sign in with SSA credentials. The call‑to‑action was a “VIEW FILE” button linking to a Zoom document hosted at docs.zoom.us. The message was designed to create urgency and used official SSA branding, making the phishing message appear legitimate.

Figura 1: Um e-mail de phishing que se assemelha a uma notificação do Zoom

A funcionalidade de compartilhamento de documentos do Zoom tornou-se um mecanismo de entrega involuntário, permitindo que uma carga maliciosa de phishing fosse originada de um domínio confiável e contornasse os controles básicos de segurança de e-mail.

Como o Zoom foi usado indevidamente

O Zoom oferece recursos como o Zoom Events e o Zoom Docs. Quando um usuário compartilha um documento do Zoom Docs, o Zoom envia um e-mail de notificação a partir de seu próprio domínio. Os invasores exploraram esse mecanismo criando um documento do Zoom que continha a mensagem de phishing e compartilhando-o com os alvos. Como o e-mail era originário de[email protected], ele estava assinado criptograficamente (SPF/DKIM/DMARC), o que lhe permitiu contornar muitas verificações de segurança de e-mail e parecer legítimo.

O e-mail de phishing continha um link inicial para docs.zoom.us/doc/

Esse documento hospedado pelo Zoom serviu como a primeira etapa do ataque. Ele usava a marca da SSA e alegava que o acesso móvel estava restrito, afirmando que o usuário deveria usar um computador desktop e baixar um “aplicativo seguro da SSA para desktop” (veja as capturas de tela fornecidas). O documento do Zoom imitava um comunicado oficial, listando pontos-chave sobre a verificação do histórico profissional recente e das contribuições fiscais. Em seguida, instruía o usuário a:

  1. Use um computador de mesa ou um laptop.
  2. Baixe o aplicativo SSA Desktop seguro pelo link fornecido.
  3. Faça login com as credenciais da SSA.

Um hiperlink azul com o texto “Baixe o aplicativo para desktop agora” direcionava a um domínio externo (lawsmith.com/redir2), que não tem nenhuma afiliação com a SSA. O documento do Zoom foi, portanto, usado como um ponto de transição, levando a vítima de um domínio confiável do Zoom para um site malicioso que hospedava o malware.

Figura 2: Primeira metade do documento de phishing do Zoom

Figura 3: Segunda metade do documento de phishing do Zoom com o link para o domínio externo

Esse ataque foi eficaz porque explorou a infraestrutura legítima do Zoom e enviou e-mails de phishing a partir do endereço [email protected] com cabeçalhos autenticados. As vítimas foram induzidas a clicar em um link para um documento do Zoom, no qual muitos usuários e filtros básicos de URL confiam. O documento do Zoom redirecionava os usuários para um segundo link malicioso, ilustrando uma técnica de phishing do tipo ChainLink.

O documento direcionava os usuários a um executável chamado “Document-needs_Signing-PDF.ClientSetup.exe”, que o VirusTotal identificou como uma ferramenta de acesso remoto da ConnectWise disfarçada de aplicativo SSA.

Figura 4: Resultados do VirusTotal


Como funciona o método do trojan ConnectWise ScreenConnect

Para completar a cadeia de ataque, a campanha de phishing passou da engenharia social para o acesso remoto, aproveitando-se de uma ferramenta de suporte de TI amplamente utilizada e considerada confiável em ambientes corporativos.

Ferramenta legítima usada indevidamente como malware

O ConnectWise ScreenConnect (anteriormente ConnectWise Control) é uma ferramenta de monitoramento e gerenciamento remoto (RMM) utilizada por equipes de suporte de TI para controlar remotamente terminais. O ScreenConnect dá aos técnicos controle total sobre o computador de um usuário. É por isso que a instalação não autorizada pode ser perigosa, já que os invasores podem executar scripts, transferir arquivos ou instalar malware adicional sem que a vítima perceba. Em campanhas de phishing, os agentes maliciosos frequentemente induzem as vítimas a baixar um cliente ScreenConnect renomeado, disfarçado como faturas ou, neste caso, documentos da SSA. Uma vez instalado, o invasor pode se conectar ao dispositivo da vítima e extrair informações confidenciais, como dados bancários e números de identificação pessoal.

O boletim de proteção da Broadcom observou um aumento acentuado no uso malicioso de ferramentas ConnectWise RMM por operadores de ransomware e outros agentes de crimes cibernéticos; os invasores distribuem anexos de e-mail ou URLs maliciosos usando clientes ConnectWise disfarçados como documentos comerciais ou governamentais falsos para conceder acesso remoto aos criminosos cibernéticos.

Como o ScreenConnect é legítimo e assinado, muitos mecanismos antivírus o tratam como software confiável. Os agentes de ameaças aproveitam isso para evitar a detecção, uma tática frequentemente chamada de “living off the land”. Em vez de implantar malware personalizado, eles usam ferramentas confiáveis para realizar o controle remoto. Transformar uma ferramenta legítima de administração de TI em arma, combinada com engenharia social, dá aos invasores a dupla vantagem de explorar a confiança e contornar a segurança.

Resumo da cadeia de ataques e suas repercussões

  1. E-mail inicial de phishing: um alerta convincente da SSA é enviado a partir do endereço [email protected] com um assunto urgente. O e-mail passa pelos filtros SPF/DKIM/DMARC e inclui a marca Zoom, contornando os filtros.
  2. Link do Zoom Docs: O e-mail insta o usuário a clicar em “Exibir arquivo”, o que leva a um documento hospedado em docs.zoom.us/doc/. Como a URL está no domínio zoom.us, ela é considerada confiável por muitos sistemas de segurança e usuários.
  3. Documento falso da SSA: O documento do Zoom contém logotipos da SSA e avisa o destinatário de que o acesso por dispositivos móveis é restrito. Ele instrui o usuário a usar um computador desktop e baixar o “aplicativo seguro da SSA para desktop”. Essa chamada à ação leva a um site externo (lawsmith.com/redir2, neste caso), que hospeda o arquivo malicioso. Essa cadeia de redirecionamentos (Zoom → domínio externo) é conhecida como phishing ChainLink.
  4. Download malicioso: O link externo baixa automaticamente um arquivo executável disfarçado como um PDF ou um aplicativo SSA (por exemplo, “Document‑needs_Signing‑PDF.ClientSetup.exe”). O VirusTotal classifica esses arquivos como Trojan.ConnectWise/ScreenConnect; trata-se, essencialmente, de clientes ScreenConnect pré-configurados para se conectarem ao invasor.
  5. Instalação e controle remoto: Quando a vítima executa o arquivo, o ScreenConnect é instalado silenciosamente. O instalador extrai um Microsoft Software Installer (.msi), assina-o com a assinatura do executável principal e utiliza o msiexec.exe para instalar o ScreenConnect. Em seguida, o cliente se conecta a um domínio controlado pelo invasor em uma porta especificada, concedendo ao invasor o controle remoto do sistema.
  6. Ações pós-invasão: Com o controle remoto, o invasor pode executar comandos, transferir arquivos, instalar malware adicional (por exemplo, ransomware) ou roubar dados. Ele pode manipular telas de transações financeiras para induzir as vítimas a transferir dinheiro. Os invasores também podem expandir o ataque para outros sistemas usando a conta de e-mail comprometida para enviar novos e-mails de phishing (phishing lateral).

Possíveis consequências

  • Roubo de identidade e fraude financeira: Criminosos que utilizam o ScreenConnect extraem dados confidenciais, como dados bancários, números de identificação pessoal e arquivos confidenciais. Eles podem realizar transações fraudulentas ou cometer roubo de identidade.
  • Compromisso da rede: uma vez estabelecido o acesso remoto, os invasores podem se deslocar lateralmente dentro de uma organização, instalar ferramentas adicionais, criar mecanismos de persistência e, potencialmente, implantar ransomware.

Melhores práticas: orientações e recomendações

1) Oriente os usuários a terem cuidado com convites não solicitados para eventos do Zoom e alertas da SSA.

2) Evite baixar arquivos de e-mails inesperados.

3) Verifique os convites para eventos do Zoom por outros meios (comunicação direta e verificação com o remetente).

4) Implemente a autenticação multifatorial (MFA) e proteja as contas do Zoom. É provável que os invasores explorem contas do Zoom comprometidas. Ativar a MFA nas plataformas de colaboração e monitorar atividades de login incomuns pode mitigar esse tipo de abuso.

5) As ferramentas antimalware devem classificar os clientes de suporte remoto utilizados indevidamente como software de risco. As soluções de detecção e resposta em terminais (EDR) também podem monitorar se o arquivo msiexec.exe está instalando ferramentas de RMM.

6) Verifique o campo “Para”. É suspeito que as notificações da SSA sejam enviadas por meio do Zoom.

Considerações finais

A campanha de phishing analisada aqui demonstra um uso indevido sofisticado da cadeia de suprimentos: os invasores se aproveitaram do envio legítimo de e-mails do Zoom para enviar mensagens de phishing que parecem notificações oficiais da SSA e hospedar links maliciosos no Zoom Docs para contornar filtros de URL. Ao persuadir as vítimas a baixarem um cliente ConnectWise ScreenConnect renomeado, os invasores obtêm controle remoto sobre seus computadores sem precisar implantar malware tradicional. A campanha ressalta a importância de verificar comunicações inesperadas, monitorar o uso de ferramentas de suporte remoto e implementar a autenticação multifatorial em plataformas de colaboração. À medida que ferramentas legítimas são cada vez mais transformadas em armas por agentes de ameaças, as organizações devem atualizar seus controles de segurança para detectar o abuso de serviços confiáveis e educar os usuários sobre as táticas de phishing em constante evolução.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

O verdadeiro custo dos ataques de phishing

Descubra o verdadeiro custo dos ataques de phishing e como a segurança moderna de e-mail bloqueia as ameaças antes que elas afetem sua empresa.

Leia a postagem do blog

Por dentro do golpe das faturas da OpenAI: o abuso do SendGrid e o phishing por callback explicados

Os cibercriminosos nunca param, reinventando constantemente suas táticas para explorar a confiança, a familiaridade e o instinto humano. INKY observando as ameaças

Leia a postagem do blog

Do phishing ao ransomware: como Kaseya 365 protege suas aplicações SaaS

As aplicações SaaS, como o Microsoft 365 e o Google Workspace, estão presentes em praticamente todos os aspectos das operações digitais atuais. No entanto, à medida que as empresas

Leia a postagem do blog