O Google revelou que governos europeus e organizações militares foram alvos de uma campanha de phishing em outubro do ano passado. Os ataques exploraram funcionalidades menos conhecidas do protocolo RDP (Remote Desktop Protocol), por meio do envio de arquivos .rdp como anexos nos e-mails de phishing.
Leia também
DeepMind cria modelo para ataques IA
França e Reino Unido discutem ferramentas de intrusão
A campanha começou com e-mails que supostamente tratavam de um projeto envolvendo empresas como Microsoft e Amazon. Os e-mails traziam como anexo um arquivo .rdp, apresentado como parte do tal projeto. Ao abrir o arquivo, a vítima estabelecia involuntariamente uma conexão com um servidor RDP controlado pelos atacantes.
Essa conexão remota concedia aos invasores permissões de leitura e gravação em todos os discos locais da vítima, além de acesso ao conteúdo da área de transferência. Com isso, os atacantes conseguiam copiar arquivos, extrair dados sensíveis e capturar credenciais temporariamente armazenadas. Também foi possível interceptar variáveis de ambiente e tentativas de autenticação WebAuthn.
Os invasores ainda fizeram uso do recurso RemoteApp do RDP, que permite distribuir aplicações remotas como se fossem nativas do sistema. Por meio dessa funcionalidade, um aplicativo malicioso foi apresentado na máquina atacada como se estivesse instalado localmente. Na prática, o programa era executado diretamente do servidor RDP dos invasores. O único indicativo de que o aplicativo era remoto era a presença do ícone do RDP na barra de tarefas.
O Google informou que não conseguiu confirmar o objetivo final desse aplicativo malicioso, mas acredita que ele poderia ser usado para induzir a vítima a realizar ações adicionais que permitissem escalar o ataque e comprometer ainda mais o sistema.
A empresa alertou que essa campanha evidencia os riscos de segurança associados a funcionalidades obscuras do protocolo RDP. Segundo o Google, os recursos utilizados deram aos atacantes um controle relativamente limitado, mas eficaz, centrado em espionagem, roubo de dados e manipulação do ambiente do usuário.
