O ataque explora um hábito absolutamente rotineiro no ambiente de trabalho: participar de videoconferências – as famosas “calls”. A vítima recebe um link aparentemente legítimo e é direcionada a uma página que reproduz com alto grau de fidelidade o visual das plataformas, inclusive com listalistas dinâmica de participantes que já teriam entrado na chamada. Ao tentar acessar a reunião, surge a mensagem de que é necessário instalar uma atualização para continuar.

É nesse ponto que o golpe acontece. A suposta atualização é, na verdade, uma ferramenta de acesso remoto (RMM) usada comumente por empresas, como Datto RMM, LogMeIn ou ScreenConnect. Por serem softwares reais e assinados digitalmente, não acionam alertas tradicionais de antivírus. Uma vez instalados, permitem que o invasor tenha acesso administrativo completo ao computador da vítima.

“Quem nunca recebeu um alerta para atualizar uma ferramenta de videoconferência para entrar em uma reunião? A minha sempre está avisando que há uma atualização disponível.”, comenta Ray Canzanese, diretor do Netskope Threat Labs. “Esse é um excelente exemplo de engenharia social: enganar a vítima para que ela siga os mesmos passos que já realizou inúmeras vezes antes. E o uso de um software legítimo de RMM torna o golpe ainda mais convincente, porque não vai acionar um alerta de malware. Essa combinação de técnicas pode ser altamente eficaz, por isso os usuários precisam ficar atentos a esse golpe.”

Com esse nível de acesso, o criminoso pode visualizar a tela, copiar arquivos, executar comandos remotamente e se movimentar pelas redes das empresas. A partir de um único equipamento comprometido, o ataque pode se expandir e abrir caminho para roubo de dados ou distribuição de ransomware.