Segundo a pesquisa, partilhada com o portal Hackread.com, o ataque instala dois programas distintos de controlo remoto na máquina da vítima, dificultando ao máximo a sua deteção e remoção.

O sistema de monitorização com inteligência artificial da Sublime Security identificou a ameaça através de pistas subtis: e-mails que alegavam partilhar um ficheiro, mas eram enviados para destinatários não revelados; extensões de ficheiro enganosas (apresentando-se como .docx mas sendo na verdade .msi) e a utilização de serviços gratuitos de alojamento de ficheiros.

O ataque começa com um e-mail malicioso enviado a partir de uma conta previamente comprometida. A mensagem imita uma notificação de partilha de ficheiro do OneDrive, incluindo rodapé de privacidade e ícone de documento Word. O link promete descarregar um documento, mas conduz a um instalador perigoso alojado no serviço gratuito Discord CDN.

Ao clicar, a vítima instala software RMM (Remote Monitoring and Management), ferramentas legítimas usadas por técnicos de TI para assistência remota, mas que, nas mãos erradas, permitem aos cibercriminosos assumir controlo total de um computador. Esta campanha utiliza o Atera como instalação visível, enquanto, em segundo plano, descarrega também o Splashtop Streamer e o .Net Runtime 8, ambos de fontes legítimas, simulando tráfego web inofensivo.

A duplicidade da operação garante que o atacante mantenha acesso mesmo que uma das ferramentas seja descoberta. Uma vez instalado, o RMM pode ser usado para roubar dados, bloquear o sistema para resgate ou lançar outros ataques.

Este caso evidencia o crescimento de ataques multi-etapas que exploram ferramentas legítimas para se manterem ativos e invisíveis. A recomendação passa por redobrar atenção com e-mails inesperados, mesmo que pareçam vir de serviços confiáveis como o OneDrive, e verificar sempre a extensão e o tipo de ficheiro antes de abrir - especialmente se algo não coincidir, como um .msi em vez de um .docx.