Iniciativa CpC: Cidadãos pela Cibersegurança

⚠️ ALERTA: Ficheiro Disfarçado de Proposta Comercial Instala Software de Controlo Remoto no teu PC

Published by

Rui Martins

on

De: Jose Martins martinspinheiro71@gm-editado-ail.com
Enviado: sexta-feira, 27 de março de 2026 10:52
Assunto: Solicitação Cotação Comercial
Bom dia.
Dando seguimento à nossa conversa telefónica mantida da semana passada, segue abaixo o
ficheiro com todas os detalhes atualizados para vossa análise e envio da proposta comercial:
Download: Ficheiro – Detalhes para Cotação Comercial (com URL para dropbox)
Agradecemos a atualização da vossa cotação e ficamos a aguardar a vossa melhor proposta.
Com os melhores cumprimentos,
FREGUESIA DE TRÊS POVOS
FUNDÃO
Contribuinte nº: 510 833 683
Tel/Fax: 275 931 048
N/ Ref:
Data: /11/2025

Análise:

Chegou ao nosso conhecimento mais uma campanha de phishing sofisticada que está a circular em Portugal, dirigida principalmente a empresas. O esquema é simples na aparência mas perigoso nas consequências: um email de aspeto profissional, com uma suposta proposta comercial, inclui um link para o Dropbox onde está disponível um ficheiro .exe para download.
Quem executa esse ficheiro entrega, sem saber, o controlo total do seu computador a desconhecidos.

Como funciona o ataque
O email chega com linguagem formal e institucional — o tipo de mensagem que qualquer colaborador de uma empresa poderia receber sem levantar suspeitas. O link aponta para o Dropbox, um serviço legítimo e de confiança, o que ajuda a contornar os filtros de segurança do email. O ficheiro descarregado parece um instalador normal. Só que não…
Ao ser executado, instala silenciosamente um software de gestão remota (do tipo usado por equipas de informática para gerir computadores à distância) neste caso, manipulado para servir o atacante. A partir desse momento, quem está do outro lado pode:
a. Ver e copiar todos os teus ficheiros
b. Executar programas no teu computador sem que saibas
c. Roubar passwords, cookies de sessão e acessos a contas (email, redes sociais, banca online)
d. Instalar outros programas maliciosos
e. Manter acesso ao teu computador durante semanas ou meses
O que torna isto particularmente perigoso é que o software instalado parece legítimo uma vez que é o mesmo tipo de ferramenta que empresas de informática usam no dia a dia. Como é um software legítimos muitos antivírus não o detetam como ameaça.

Porque é que isto é mais grave do que um vírus comum?
Um vírus faz dano e passa. Isto é diferente: o atacante fica com acesso contínuo e silencioso ao teu computador, como se tivesse uma cópia da tua chave de casa. Pode entrar quando quiser, ver o que quiser, e sair sem deixar rasto visível.

O que fazer se recebeste este email?
Não abrir, não descarregar, não executar. Apaga o email e avisa o teu departamento de informática ou responsável de segurança.

O que fazer se já executaste o ficheiro?
Se já correste o ficheiro, o mais provável é que o teu computador esteja comprometido. Não basta fazer um scan com antivírus. As ações recomendadas são:
a. Desliga o computador da rede imediatamente (retira o cabo de rede ou desativa o Wi-Fi)
b. Não uses esse computador para aceder a contas, email ou homebanking
c. Contacta o teu departamento de informática: se trabalhares numa empresa
d. Muda as passwords de todas as contas importantes a partir de um dispositivo diferente e seguro (telemóvel ou outro computador)
e. Revoga as sessões ativas nas contas que usas (Google, Microsoft, redes sociais): a maioria dos serviços tem esta opção nas definições de segurança
f. A solução mais segura é reinstalar o sistema operativo é drástico, mas é a única forma de ter a certeza de que o acesso remoto foi completamente eliminado

Alguns conselhos práticos para não seres apanhado:
a. Nunca executes ficheiros .exe recebidos por email ou descarregados de links em emails, mesmo que o remetente pareça legítimo ou o ficheiro venha de um serviço como o Dropbox, WeTransfer ou Google Drive.
b. Desconfia de propostas comerciais não solicitadas que pedem para descarregar algo.
c. Antes de abrir qualquer ficheiro descarregado, analisa-o em https://www.virustotal.com — é gratuito e não requer registo.
d. Ativa a autenticação de dois fatores (2FA) em todas as contas importantes. Mesmo que roubem a tua password, não conseguem entrar sem o segundo fator.
e. Em empresas, restringe a execução de programas a partir das pastas de Downloads e Temporários: AppLocker ou Defender ASR.
f. Mantém o sistema operativo e o antivírus atualizados — não elimina o risco, mas reduz-o significativamente.

Análise Técnica: Para Profissionais de Segurança e Administradores de Sistemas
Esta secção destina-se a técnicos, administradores e equipas de segurança que pretendam compreender o payload em detalhe e implementar controlos defensivos.

O que é este .exe — Classificação técnica
Não se trata de um trojan genérico. A análise indica tratar-se de um RMM (Remote Monitoring & Management) trojanizado, muito provavelmente baseado no N-able Advanced Monitoring Agent — software legítimo de gestão remota usado por MSPs, aqui reutilizado como vetor de ataque.
Indicadores de compromisso (IOCs) observados:
C:\Program Files (x86)\Advanced Monitoring Agent\
winagent.exe /autoinstall
Serviços criados: Advanced Monitoring Agent / Advanced Monitoring AutoUpdate
C2 / infraestrutura: systemmonitor.eu.com / upload1ireland.systemmonitor.eu.com / upload2ireland.systemmonitor.eu.com
Ficheiros bundled: agent.exe / msp-agent-core.msi
Command & Control: HTTPS para infraestrutura controlada via Cloudflare

O que o atacante obtém após execução
Controlo total do endpoint: execução remota de comandos, instalação de payloads adicionais, acesso a ficheiros
Acesso a credenciais: input capture, roubo de cookies, acesso a sessões autenticadas (M365, browsers, etc.)
Canal C2 persistente: comunicação HTTPS com evasão via Cloudflare
Persistência robusta: serviços com autostart e mecanismo de auto-atualização
Evasão eficaz: o agente parece software corporativo legítimo o que leva a uma baixa taxa de deteção por EDR/AV
Este ficheiro transforma o endpoint da vítima num nó gerido remotamente pelo atacante, usando infraestrutura de software legítimo como cobertura: o padrão “Living off Legitimate Tools” (LOLtools), uma tendência crescente que inclui ferramentas como AnyDesk, TeamViewer e ScreenConnect.

Incident Response — Se o ficheiro foi executado
A resposta correta é IR completo, não apenas scan de antivírus.
Ação imediata:

  1. Verificar presença do agente
    dir “C:\Program Files (x86)\Advanced Monitoring Agent”
  2. Listar serviços suspeitos
    sc query type= service | findstr /i “monitor agent”
  3. Ver conexões ativas na porta 443
    netstat -ano | findstr 443

Ação recomendada (por ordem de prioridade):
Isolar a máquina da rede imediatamente
Reimage completo: fortemente recomendado; qualquer outra abordagem deixa risco residual
Reset de credenciais: Active Directory, Microsoft 365, VPN
Revogar todas as sessões ativas no Entra ID (Azure AD)
Threat hunting nos restantes endpoints da rede

Controlos preventivos para Exchange Online / Microsoft 365
O vetor principal não é o .exe em anexo — é o fluxo email → link Dropbox → download → execução. Os controlos devem cobrir toda a cadeia.
Anti-malware policy (Defender for Office 365): Bloquear extensões: .exe, .js, .vbs, .scr, .bat, .cmd, .ps1
Safe Links — CRÍTICO: Ativar reescrita de URLs e proteção time-of-click. Permite analisar links Dropbox no momento do clique, não apenas na receção.
Safe Attachments: Ativar Dynamic Delivery com sandboxing automático.
Transport Rule (bloqueio de file sharing externo):
IF:
Sender is external
AND Body contains “dropbox.com” OR “dropboxusercontent.com”
THEN:
Prepend warning banner
OR Quarantine (recomendado em ambientes de maior risco)
Anti-phishing policy: Ativar impersonation protection, domain similarity detection e user impersonation.
Controlos de endpoint — Bloquear execução a partir de diretórios de utilizador
O ponto crítico: o .exe é executado a partir de %USERPROFILE%\Downloads ou %TEMP%. Bloquear execução nestas localizações elimina a maioria deste tipo de ataques.
Opções disponíveis:
AppLocker ou WDAC — políticas de execução por localização
Defender ASR Rules — regras recomendadas:
Block executable content from email client and webmail
Block executable files from running unless they meet a prevalence, age, or trusted list criterion
Block process creations originating from PSExec and WMI commands

Nota final para técnicos
A tendência LOLtools (abuso de ferramentas legítimas de gestão remota) está em crescimento acelerado. N-able, AnyDesk, TeamViewer e ScreenConnect são cada vez mais usados como RATs de facto, precisamente porque contornam deteções baseadas em assinaturas. A defesa eficaz requer políticas de controlo de execução, monitorização de comportamento e segmentação de rede — não apenas AV/EDR atualizado.

Se recebeste este tipo de email ou tens dúvidas sobre um ficheiro que descarregaste, contacta a CpC.

Deixe um comentário

Previous Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.