Investigadores alertam para o uso da plataforma de monitorização como RAT em fases de pós-exploração, permitindo persistência sem o uso de malware tradicional.
Investigadores da empresa de segurança Ontinue emitiram um alerta crítico sobre o uso indevido da plataforma open-source Nezha. Originalmente projetada para a monitorização legítima de servidores, a ferramenta está sendo instrumentalizada por cibercriminosos como um Remote Access Trojan (RAT) em fases de pós-exploração. Essa tática permite que invasores mantenham acesso persistente a sistemas comprometidos sem a necessidade de recorrer a malwares tradicionais, dificultando drasticamente a detecção por softwares de proteção convencionais.
- Siga o tecflow no tik tok!
O atrativo para os invasores: Acesso total e invisibilidade
Segundo a análise da Ontinue, o Nezha tornou-se uma escolha estratégica para ataques devido às suas funcionalidades nativas, que incluem acesso de nível SYSTEM/root, gestão avançada de arquivos e um terminal web interativo para execução de comandos. O grande desafio para os times de defesa é que, por se tratar de um software legítimo, o Nezha possui zero detecções em motores de segurança como o VirusTotal. A atividade maliciosa só se torna visível quando os atacantes iniciam a execução de comandos através do agente instalado, permitindo que eles se “misturem” ao tráfego normal da rede.
A estratégia “Living-off-the-land” (LOTL)
Mayuresh Dani, gerente de pesquisa de segurança da Qualys, destaca que o abuso do Nezha reflete uma tendência crescente no cibercrime: o uso sistemático de ferramentas legítimas para persistência e movimentação lateral. Este comportamento enquadra-se nas técnicas conhecidas como Living-off-the-land (LOTL), similares ao que já ocorre com outras ferramentas populares de gestão remota (RMM). Em ambientes onde o Nezha já é utilizado pela equipe de TI, a atividade anômala de um invasor pode ser facilmente ignorada pelos analistas, que confiam na legitimidade da aplicação.
Conta de luz em risco? Entenda a guerra bilionária que
Um “puxadinho” na nova lei do setor elétrico colocou gigantes da energia e o Governo em pé de guerra. Entenda…
Oportunidade de ouro: IFSP libera 4.500 vagas em cursos de
Quer entrar no mercado de TI sem pagar nada? O Instituto Federal de São Paulo (IFSP) acaba de abrir inscrições…
O fim do Windows? Google e Samsung unem forças e
Prepare o monitor: a nova atualização do Android 16 acaba de transformar seu celular em um computador completo. Entenda a…
Apple choca o mercado e lança MacBook Neo por preço
Em estratégia inédita para driblar a crise dos chips, gigante de Cupertino aposta em notebook “popular” com bateria de 16…
Samsung lança no Brasil tela 3D que dispensa óculos e
Nova tecnologia Spatial Signage transforma imagens comuns em experiências 3D realistas para revolucionar lojas e escritórios; conheça o display de…
Conheça a calculadora “mágica” que fazia ligações e outras raridades
Evento gratuito no Shopping Mooca revela invenções bizarras e históricas da Casio, incluindo modelos que jogam e organizam rankings de…
Mitigação e governança de TI
Para mitigar esses riscos, especialistas recomendam que as organizações realizem um inventário rigoroso de todas as ferramentas RMM instaladas, eliminando o que não for estritamente essencial. Além disso, é fundamental reforçar a monitorização comportamental com alertas em tempo real e definir limites temporais para a utilização desses serviços. A cibersegurança em 2026 exige um olhar que vá além do arquivo executável, focando no contexto e na intenção do uso das ferramentas instaladas na infraestrutura corporativa.
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
