Operadores abusam de convites falsos, contas de e-mail comprometidas e instalação silenciosa de LogMeIn Resolve para manter acesso remoto persistente em sistemas Windows.
| Componente | Contas de e-mail, hosts Windows e software legítimo de Remote Monitoring and Management LogMeIn Resolve, anteriormente GoTo Resolve. |
| Vetor | E-mails falsos de convite imitando a plataforma Greenvelope direcionam a vítima a uma página de phishing para capturar credenciais de Microsoft Outlook, Yahoo! e AOL[.]com. |
| Impacto | Credenciais roubadas são usadas para registrar acesso no LogMeIn, gerar tokens de RMM e instalar silenciosamente acesso remoto persistente por meio do executável GreenVelopeCard.exe. |
| Prioridade | Monitorar instalações não autorizadas de RMM, revisar uso anômalo de LogMeIn Resolve e investigar tarefas agendadas ocultas ou alterações de serviço em Windows. |
| Artefatos | Executável assinado com certificado válido, configuração JSON embutida, tokens de acesso RMM e conexão para URL controlada pelo operador. |
| Persistência | A cadeia altera configurações de serviço para execução com acesso irrestrito e cria tarefas agendadas ocultas para relançar o RMM caso o usuário encerre o programa manualmente. |
A campanha combina phishing de credenciais com abuso de ferramenta administrativa legítima para criar uma presença persistente em hosts Windows. O fluxo começa com mensagens que se passam por convites da plataforma Greenvelope e induzem o destinatário a acessar uma URL de phishing. O objetivo inicial é capturar credenciais de serviços de e-mail como Microsoft Outlook, Yahoo! e AOL[.]com. Depois que a conta é comprometida, os operadores não dependem de uma família de malware própria para manter controle remoto; eles usam o acesso obtido para registrar o ambiente no LogMeIn e preparar a instalação de Remote Monitoring and Management em nome da vítima.
O ponto técnico central é o uso de software RMM confiável como backdoor operacional. LogMeIn Resolve é uma ferramenta legítima de administração remota, mas, quando instalada sem autorização e vinculada a tokens controlados por terceiros, passa a oferecer ao operador recursos de acesso contínuo semelhantes aos de uma ferramenta de pós-comprometimento. Essa escolha reduz a dependência de binários claramente maliciosos e desloca a detecção para comportamento, governança de ferramentas administrativas, alterações de serviço e evidências de instalação não aprovada.
A atividade ocorre em duas ondas. Na primeira, a campanha coleta credenciais por meio de convite falso. Na segunda, as credenciais capturadas são usadas para registrar o LogMeIn, gerar tokens de acesso RMM e distribuir um executável chamado GreenVelopeCard.exe. Esse binário é assinado com certificado válido e contém uma configuração JSON que orienta a instalação silenciosa do LogMeIn Resolve e a conexão a uma URL controlada pelo operador. A assinatura válida não torna a atividade confiável; ela apenas dificulta decisões de bloqueio baseadas exclusivamente em reputação de arquivo.
A primeira etapa depende de engenharia social com aparência de convite legítimo. O tema Greenvelope funciona como isca porque a vítima espera uma interação simples: abrir um convite, visualizar um cartão ou confirmar presença. Em vez disso, o link direciona a uma página preparada para coletar credenciais de e-mail. O material analisado indica alvos de login em Microsoft Outlook, Yahoo! e AOL.com. A partir desse ponto, o risco não se limita à própria caixa postal: a conta comprometida passa a ser usada como identidade de apoio para a fase de implantação do RMM.
Na segunda etapa, o operador utiliza a conta de e-mail roubada para se registrar no LogMeIn e gerar tokens de acesso RMM. Esses tokens são implantados em uma nova ofensiva por meio de GreenVelopeCard.exe. O executável atua como intermediário de instalação, carregando uma configuração JSON que permite instalar silenciosamente o LogMeIn Resolve e associar o host ao controle remoto do atacante. A conexão é direcionada a uma URL controlada pelo operador, mas o indicador exato não foi fornecido; por isso, a defesa deve concentrar a análise em padrões de conexão e eventos de instalação, sem depender de uma lista fixa de IoCs.
Depois que o RMM está ativo, a cadeia busca persistência e privilégios operacionais no Windows. A atividade altera configurações de serviço para que o programa rode com acesso irrestrito e cria tarefas agendadas ocultas para relançar o componente caso ele seja encerrado manualmente pelo usuário. Esse comportamento é relevante para detecção porque diferencia uma instalação administrativa comum de uma instalação furtiva: o software pode ser legítimo, mas a combinação de origem desconhecida, execução silenciosa, tokens não reconhecidos, serviço alterado e tarefa agendada escondida é indicativa de abuso.
A superfície exposta inclui usuários que recebem convites falsos, contas de e-mail que aceitam autenticação com credenciais capturadas e estáções Windows onde o executável de segunda fase consegue instalar o RMM. O contexto não confirma exploração de vulnerabilidade, movimento lateral, vazamento de dados ou uso de uma família específica de malware. O impacto confirmado é acesso remoto persistente, obtido pela combinação de credenciais roubadas, token RMM e instalação não autorizada de LogMeIn Resolve.
Ambientes com uso legítimo de ferramentas RMM exigem cuidado adicional, porque a presença do produto isoladamente não prova comprometimento. A análise precisa comparar inventário aprovado, responsáveis administrativos, janela de instalação, origem da solicitação, conta associada ao registro do serviço, parâmetros de execução e mudanças recentes em tarefas agendadas. Quando a ferramenta aparece em um host que não faz parte do escopo administrado, ou quando o vínculo do agente aponta para uma conta sem relação com a equipe de TI, o caso deve ser tratado como incidente de acesso remoto não autorizado.
- Usuários expostos a e-mails de convite falso associados ao tema Greenvelope.
- Contas de Microsoft Outlook, Yahoo! e AOL[.]com com credenciais coletadas pela página de phishing.
- Hosts Windows onde
GreenVelopeCard.exeexecuta a instalação silenciosa de LogMeIn Resolve. - Instâncias de LogMeIn Resolve vinculadas a tokens RMM gerados após comprometimento de e-mail.
- Serviços e tarefas agendadas usados para manter execução persistente do RMM.
A investigação deve começar pela correlação entre e-mail, identidade e endpoint. No correio eletrônico, procure mensagens de convite recebidas pouco antes de logins incomuns, principalmente quando houver redirecionamento para página externa de autenticação. Em identidade, revise acessos bem-sucedidos às contas afetadas, mudanças de localização, novos dispositivos, horários incomuns e autenticações que antecedam o registro no LogMeIn. Em endpoint, a busca deve se concentrar no aparecimento de GreenVelopeCard.exe, na instalação silenciosa de LogMeIn Resolve e em modificações de persistência no Windows.
A telemetria de EDR e logs do sistema deve destacar criação ou alteração de serviços associados ao RMM, execução com privilégios elevados, tarefas agendadas ocultas e reinício automático do programa após encerramento manual. Como o binário citado foi assinado com certificado válido, controles que tratam assinatura como sinal suficiente de confiança podem falhar. O hunting deve priorizar o encadeamento dos eventos: arquivo assinado com nome temático de convite, leitura de configuração JSON, instalação de software RMM, conexão para infraestrutura externa e criação de mecanismo de persistência.
- Recebimento de e-mails com tema de convite Greenvelope seguido de tentativa de autenticação em página externa.
- Logins bem-sucedidos em contas de e-mail a partir de origem, horário ou dispositivo incomum.
- Execução de
GreenVelopeCard.exeem estáções que não deveriam instalar software administrativo. - Instalação recente de LogMeIn Resolve sem chamado, mudança aprovada ou responsável interno definido.
- Criação de tarefas agendadas ocultas para relançar o RMM após encerramento manual.
- Alterações em serviços Windows associadas a execução com acesso irrestrito.
- Conexões de agente RMM para URL externa não reconhecida pela equipe de administração.
A resposta deve tratar o caso como comprometimento de identidade e de endpoint. Contas que interagiram com o convite falso precisam ter senha redefinida, sessões revogadas e autenticação multifator revisada. Em paralelo, os hosts com instalação suspeita de LogMeIn Resolve devem ser isolados o suficiente para impedir continuidade do acesso remoto enquanto a equipe preserva evidências de processo, serviços, tarefas agendadas e eventos de instalação. Remover apenas o programa sem revisar tokens, conta associada e persistência pode deixar a cadeia parcialmente ativa.
Organizações que usam RMM de forma legítima devem manter uma lista autorizada de ferramentas, tenants, contas administrativas e hosts permitidos. Qualquer instalação fora desse inventário deve gerar alerta. A mitigação também deve incluir bloqueio ou aprovação controlada de instaladores RMM, validação de certificados sem depender apenas deles, monitoramento de criação de tarefas agendadas e revisão de políticas que permitem a usuários comuns instalar ferramentas de acesso remoto. A defesa é mais eficaz quando combina controle preventivo de software administrativo com detecção comportamental de persistência.
Após a contenção, a equipe deve revisar o escopo do acesso remoto. O contexto confirma persistência e acesso remoto, mas não confirma exfiltração, movimento lateral ou implantação de malware adicional. Ainda assim, a análise forense deve verificar comandos administrativos executados pelo RMM, conexões estabelecidas, contas acessadas e alterações feitas no host durante a janela de comprometimento. A validação final deve confirmar que tokens de RMM foram revogados, que tarefas ocultas foram removidas, que serviços voltaram ao estado aprovado e que a conta de e-mail comprometida não mantém sessões ativas ou regras suspeitas.
- Revogar sessões e redefinir credenciais das contas de e-mail que acessaram páginas de phishing.
- Investigar registros de LogMeIn associados a contas comprometidas e invalidar tokens RMM não autorizados.
- Isolar hosts com instalação suspeita de LogMeIn Resolve até concluir coleta de evidências.
- Remover
GreenVelopeCard.exe, instalações não aprovadas de RMM, serviços alterados e tarefas agendadas ocultas. - Criar inventário aprovado de RMM e alertas para instalação, execução ou conexão fora desse padrão.
- Exigir autenticação multifator e revisar anomalias de login em Microsoft Outlook, Yahoo! e AOL.com.
- Correlacionar e-mail, identidade, endpoint e rede para delimitar a janela de acesso remoto persistente.
0 Comentários