Threats
Investigadores alertam para o uso da plataforma de monitorização Nezha como RAT em fases de pós-exploração, permitindo persistência sem recurso a malware tradicional
01/01/2026
|
Investigadores da Ontinue alertam para o uso da ferramenta open-source Nezha, originalmente destinada à monitorização de servidores, como um remote access trojan (RAT) em cenários de pós-exploração. A prática permite aos atacantes manter acesso persistente a sistemas comprometidos sem recorrer a malware tradicional. Num blog post, a Ontinue explica que os cibercriminosos recorrem ao Nezha por este fornecer acesso ao nível SYSTEM/root, funcionalidades de gestão de ficheiros e um terminal web interativo. Estas capacidades tornam a ferramenta atrativa para controlo remoto após a intrusão inicial. De acordo com os investigadores, o Nezha não é identificado como malware por plataformas de deteção tradicionais. Dados do VirusTotal indicam zero deteções em 72 motores de segurança, uma vez que se trata de software legítimo. A atividade maliciosa só se torna visível quando os atacantes começam a executar comandos através do agente instalado. A Ontinue sublinha que os atacantes privilegiam ferramentas legítimas porque estas evitam deteção por assinaturas, misturam-se com atividade normal e reduzem o esforço de desenvolvimento. Neste contexto, os investigadores defendem que as equipas de segurança devem centrar-se na análise comportamental, no contexto e na deteção de anomalias. Mayuresh Dani, security research manager da Qualys Threat Research Unit, considera que a instrumentalização do Nezha reflete uma estratégia de ataque cada vez mais comum, baseada no abuso sistemático de software legítimo para garantir persistência e movimento lateral, contornando defesas tradicionais. Segundo o security research manager, em ambientes onde a ferramenta já é conhecida, as equipas de defesa podem ignorar esta atividade anómala. Este comportamento enquadra-se nas técnicas living-off-the-land (LOTL), já observadas com outras ferramentas de monitorização remota e gestão (RMM), como o TeamViewer. Para mitigar este risco, o responsável recomenda que as organizações inventariem todas as ferramentas RMM, reforcem a monitorização comportamental com alertas em tempo real e definam limites temporais para a utilização destes serviços, prevenindo reutilizações maliciosas. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
