Campanha de spear phishing explora screensavers para obter acesso remoto a sistemas Windows

Investigadores da ReliaQuest identificaram uma campanha de spear phishing que utiliza ficheiros de screensaver do Windows (.scr) como vetor inicial de compromisso, explorando a perceção errada de que estes ficheiros são inofensivos. Na prática, trata-se de executáveis que podem correr código arbitrário e, em muitos ambientes, não estão sujeitos aos mesmos controlos aplicados a outros formatos executáveis.

De acordo com a investigação, os atacantes recorrem a iscos de negócio – como pedidos para consultar faturas ou resumos de projeto – que remetem para um ficheiro .scr alojado em serviços de cloud storage externos à organização. A natureza pouco comum do formato aumenta a probabilidade de o ficheiro contornar filtros de segurança e ser executado pelo utilizador.

Uma vez aberto, o screensaver instala uma ferramenta legítima de remote monitoring and management (RMM), o JWrapper, permitindo aos atacantes obter controlo remoto interativo e persistente sobre o sistema comprometido. Este acesso pode ser posteriormente explorado para roubo de dados, movimentação lateral na rede e, em fases mais avançadas, a implementação de ransomware.

Segundo Andrew Adams, da ReliaQuest, o risco resulta de um desfasamento entre perceção e realidade. “No Windows, os ficheiros .scr são programas executáveis. Sem restrições adequadas nas políticas de controlo de aplicações ou consciencialização dos utilizadores, estes ficheiros representam um risco significativo de segurança”, alerta o investigador.

A campanha destaca ainda uma tendência crescente no cibercrime: o abuso de ferramentas legítimas e serviços de confiança como meio de intrusão. “Para os atacantes, esta abordagem é eficiente, reduz a dependência de infraestrutura própria e facilita a evasão e a manutenção de acesso a longo prazo”, sublinha Adams, acrescentando que a técnica é facilmente reutilizável e escalável.

A ReliaQuest refere não ser possível, para já, atribuir a atividade a um grupo específico. O recurso a serviços de armazenamento na cloud de consumo e a infraestruturas variáveis dificulta a identificação de padrões consistentes.

Este não é um fenómeno isolado. Em agosto de 2025, campanhas semelhantes recorreram a ficheiros .scr para distribuir o remote access trojan GodRAT, sobretudo contra instituições financeiras, o que indica que esta técnica continuará a ser explorada.

Para mitigar o risco, a ReliaQuest recomenda que as organizações tratem os ficheiros .scr como executáveis, aplicando políticas rigorosas de controlo de aplicações; mantenham listas de permissões para ferramentas RMM e alertas para instalações não autorizadas; e reduzam a exposição a serviços de alojamento de ficheiros não empresariais, através de bloqueios ao nível de DNS ou web proxy.