Pesquisadores da Cisco Talos alertam para uma nova campanha de ciberataques direcionada a executivos e profissionais das áreas financeira e de RH no Brasil. Desde janeiro de 2025, cibercriminosos estão explorando o sistema de Nota Fiscal eletrônica (NF-e) para disseminar e-mails falsos com links maliciosos hospedados no Dropbox. As mensagens simulam cobranças de instituições financeiras ou operadoras de celular para enganar os usuários.

Ao clicar no link, a vítima é direcionada para o download de instaladores de versões de teste de softwares comerciais de acesso remoto, como N-able RMM e PDQ Connect. Após a instalação, os criminosos têm acesso completo ao sistema da vítima, podendo ler, gravar arquivos e até instalar novas ferramentas, como o ScreenConnect. A campanha tem como principal objetivo fornecer acesso inicial a redes corporativas, sendo operada por um grupo classificado como broker de acesso inicial (IAB).

Esses atacantes abusam dos períodos de teste gratuitos dos softwares RMM para evitar custos e detecção, aproveitando que essas ferramentas são assinadas digitalmente e consideradas legítimas. A N-able já desativou as contas afetadas. A ameaça faz parte de um cenário maior, com diversas campanhas de phishing que usam desde documentos Word com falhas antigas até serviços como GetShared, Milanote e até o recurso TryCloudflare para distribuir malwares e roubar credenciais. Os criminosos seguem sofisticando métodos para driblar defesas modernas de e-mail e segurança de endpoint.