Hackers de ransomware visando software de monitoramento de funcionários para acessar computadores

Uma popular ferramenta de monitoramento de força de trabalho está sendo alvo de hackers e usada como base para ataques de ransomware, de acordo com um novo relatório da empresa de segurança cibernética Huntress.

No final de janeiro e início de fevereiro de 2026, a equipe de resposta tática da Huntress investigou duas invasões nas quais os invasores combinaram o Net Monitor for Employees Professional com o SimpleHelp, uma ferramenta de acesso remoto usada pelos departamentos de TI.

De acordo com o relatório, os hackers usaram o software de monitoramento de funcionários para entrar nos sistemas da empresa e o SimpleHelp para garantir que eles poderiam permanecer lá mesmo se um ponto de acesso fosse desligado. A atividade eventualmente levou a uma tentativa de implantação do ransomware Crazy.

“Esses casos destacam uma tendência crescente de agentes de ameaças que aproveitam software legítimo e comercialmente disponível para se integrarem aos ambientes corporativos”, escreveram os pesquisadores da Huntress.

“O Net Monitor for Employees Professional, embora comercializado como uma ferramenta de monitoramento da força de trabalho, oferece recursos que rivalizam com os trojans de acesso remoto tradicionais: conexões reversas em portas comuns, mascaramento de nomes de processos e serviços, execução de shell integrada e a capacidade de implantação silenciosa por meio de mecanismos de instalação padrão do Windows. Quando combinado com o SimpleHelp como um canal de acesso secundário… o resultado é uma base resiliente de duas ferramentas que é difícil de distinguir do software administrativo legítimo.”

A empresa acrescentou que, embora as ferramentas possam ser novas, a causa raiz continua sendo perímetros expostos e higiene de identidade fraca, incluindo contas VPN comprometidas.

A ascensão do “bossware”

O uso do chamado “bossware” varia globalmente, mas é generalizado. Cerca de um terço das empresas do Reino Unido utilizam software de monitorização de funcionários, de acordo com um relatório do ano passado, enquanto nos EUA o número é estimado em cerca de 60%.

O software é comumente implantado para monitorar a produtividade, registrar atividades e capturar capturas de tela das telas dos trabalhadores. Mas o seu uso é controverso, assim como as afirmações sobre se ele realmente captura a produtividade dos funcionários ou se avalia com base em critérios arbitrários, como cliques do mouse ou e-mails enviados.

No entanto, a sua popularidade torna essas ferramentas um vetor atraente para os invasores. O Net Monitor for Employees Professional, desenvolvido pela NetworkLookout, é comercializado para monitoramento da produtividade dos funcionários, mas oferece recursos além do monitoramento passivo de tela, incluindo conexões reversas de shell, controle remoto da área de trabalho, gerenciamento de arquivos e a capacidade de personalizar nomes de serviços e processos durante a instalação.

Esses recursos, projetados para uso administrativo legítimo, podem permitir que os agentes de ameaças se integrem aos ambientes corporativos sem implantar o malware tradicional.

No primeiro caso detalhado pela Huntress, os investigadores foram alertados sobre manipulação suspeita de conta em um host, incluindo esforços para desabilitar a conta de convidado do sistema e habilitar a conta de administrador integrada. Vários comandos “net” foram executados para enumerar usuários, redefinir senhas e criar contas adicionais.

Os analistas rastrearam a atividade até um binário vinculado ao Net Monitor for Employees, que gerou um aplicativo pseudo-terminal que permite a execução de comandos. A ferramenta extraiu um binário SimpleHelp de um endereço IP externo, após o qual o invasor tentou adulterar o Windows Defender e implantar várias versões do ransomware Crazy, parte da família VoidCrypt.

Na segunda intrusão, observada no início de fevereiro, os invasores conseguiram entrar por meio de uma conta SSL VPN de um fornecedor comprometido e conectaram-se via Remote Desktop Protocol a um controlador de domínio. A partir daí, instalaram o agente Net Monitor diretamente do site do fornecedor. Os invasores personalizaram nomes de serviços e processos para imitar componentes legítimos do Windows, disfarçando o serviço como relacionado ao OneDrive e renomeando o processo em execução.

Eles então instalaram o SimpleHelp como um canal persistente adicional e configuraram gatilhos de monitoramento baseados em palavras-chave direcionados à criptomoeda carteiras, trocas e plataformas de pagamento, bem como outras ferramentas de acesso remoto. Huntress disse que a atividade mostrou sinais claros de motivação financeira e evasão deliberada da defesa.

Network LookOut, a empresa por trás do Net Monitor for Employee, disse Descriptografar o agente só pode ser instalado por um usuário que já tenha privilégios administrativos no computador onde o agente será instalado. “Sem privilégios administrativos, a instalação não é possível”, disse por e-mail.

“Portanto, se você não deseja que nosso software seja instalado em um computador, certifique-se de que o acesso administrativo não seja concedido a usuários não autorizados, pois o acesso administrativo permite a instalação de qualquer software.”

Não é a primeira vez que hackers tentam implantar ransomware ou roubar informações por meio de bossware. Em abril de 2025, os pesquisadores revelaram que o WorkComposer, um aplicativo de vigilância no local de trabalho usado por mais de 200 mil pessoas, havia deixado mais de 21 milhões de capturas de tela em tempo real expostas em um depósito de armazenamento em nuvem inseguro, potencialmente vazando dados comerciais confidenciais, credenciais e comunicações internas.