{"id":24542,"date":"2025-12-19T16:58:43","date_gmt":"2025-12-19T19:58:43","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24542"},"modified":"2025-12-26T13:12:22","modified_gmt":"2025-12-26T16:12:22","slug":"syncro-remote-admin-tool-on-ai-generated-fake-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/syncro-remote-admin-tool-on-ai-generated-fake-websites\/24542\/","title":{"rendered":"Ataques usando o Syncro e sites gerados por IA"},"content":{"rendered":"

Recentemente, detectamos uma nova campanha mal-intencionada que utiliza uma abordagem bastante intrigante. O agente cria suas pr\u00f3prias vers\u00f5es assinadas de uma ferramenta de acesso remoto (RAT) leg\u00edtima. Para distribu\u00ed-las, ele usa um servi\u00e7o baseado em IA para gerar em massa p\u00e1ginas da Web mal-intencionadas, que se disfar\u00e7am de forma convincente como os sites oficiais de v\u00e1rios aplicativos.<\/p>\n

Continue lendo para descobrir como esse ataque funciona, por que ele \u00e9 particularmente perigoso para os usu\u00e1rios e como se proteger.<\/p>\n

Como funciona o ataque<\/h2>\n

Parece que o agente mal-intencionado utiliza v\u00e1rias op\u00e7\u00f5es de plataformas para seus ataques. Primeiro, ele claramente est\u00e1 apostando que um n\u00famero significativo de usu\u00e1rios acesse as p\u00e1ginas falsas por meio de pesquisas simples no Google. Isso acontece porque os sites falsos normalmente t\u00eam endere\u00e7os que correspondem, ou est\u00e3o muito pr\u00f3ximos, ao que os usu\u00e1rios est\u00e3o procurando.<\/p>\n

\"Sites<\/a>

Ao pesquisar nos resultados de pesquisa do Google, \u00e0s vezes voc\u00ea poder\u00e1 encontrar v\u00e1rios sites falsos de Pok\u00e9mon disfar\u00e7ados de leg\u00edtimos. Nesse caso, estamos analisando os clones da Polymarket.<\/p><\/div>\n

Em segundo lugar, ele lan\u00e7a campanhas de e-mail mal-intencionadas como uma alternativa. Nesse cen\u00e1rio, o ataque \u00e9 iniciado quando o usu\u00e1rio recebe um e-mail que cont\u00e9m um link para um site falso. Veja um exemplo similar a seguir:<\/p>\n

Caros titulares de $DOP,
\nA janela de migra\u00e7\u00e3o de DOP-v1 para DOP-v2 foi oficialmente fechada, com mais de 8B+ tokens migrados com \u00eaxito.
\nTemos o prazer de anunciar que o Portal de Solicita\u00e7\u00f5es de DOP-v2 j\u00e1 est\u00e1 ABERTO!
\nTodos os titulares de $DOP agora podem visitar o portal para solicitar seus tokens com seguran\u00e7a e passar para a pr\u00f3xima fase do ecossistema.
\nSolicite seus tokens de DOP-v2 agora https:\/\/migrate-dop{dot}org\/
\nBem-vindo ao DOP-v2: um cap\u00edtulo mais forte, inteligente e recompensador come\u00e7a hoje.
\nAgradecemos sua participa\u00e7\u00e3o nesta jornada.
\nA Equipe DOP<\/code><\/p>\n

Algumas das p\u00e1ginas mal-intencionadas que descobrimos nessa campanha se passam por sites de aplicativos antiv\u00edrus ou de gerenciamento de senhas. Seu conte\u00fado \u00e9 claramente elaborado para assustar o usu\u00e1rio com avisos falsos sobre algum tipo de problema de seguran\u00e7a.<\/p>\n

\"Site<\/a>

Um site falso da Avira avisa sobre uma vulnerabilidade e aconselha o download da sua \u201catualiza\u00e7\u00e3o\u201d<\/p><\/div>\n

Portanto, os invasores tamb\u00e9m est\u00e3o usando uma t\u00e1tica conhecida como scareware<\/a>: impor um aplicativo n\u00e3o seguro aos usu\u00e1rios sob o pretexto de prote\u00e7\u00e3o contra uma amea\u00e7a imagin\u00e1ria.<\/p>\n

\"Site<\/a>

Uma p\u00e1gina falsa da Dashlane avisa sobre uma \u201cexposi\u00e7\u00e3o de metadados de criptografia de alta gravidade que afeta a sincroniza\u00e7\u00e3o de retransmiss\u00e3o na nuvem\u201d, seja l\u00e1 o que isso signifique. E, claro, voc\u00ea n\u00e3o pode corrigi-la, a menos que fa\u00e7a o download de algo<\/p><\/div>\n

Sites falsos criados com o Lovable<\/h2>\n

Apesar das diferen\u00e7as de conte\u00fado, os sites falsos envolvidos nesta campanha mal-intencionada compartilham v\u00e1rios recursos comuns. Para come\u00e7ar, a maioria de seus endere\u00e7os \u00e9 constru\u00edda de acordo com a f\u00f3rmula {popular app name} + desktop.com<\/em>, uma URL que corresponde a uma consulta de pesquisa obviamente comum.<\/p>\n

Al\u00e9m disso, as pr\u00f3prias p\u00e1ginas falsas parecem bastante profissionais. Curiosamente, a apar\u00eancia dos sites falsos n\u00e3o replica exatamente o design dos originais, eles n\u00e3o s\u00e3o clones diretos. Em vez disso, s\u00e3o varia\u00e7\u00f5es muito convincentes de um tema. Como exemplo, podemos ver algumas vers\u00f5es falsas da p\u00e1gina da carteira de criptomoedas da Lace. Uma delas tem o seguinte formato:<\/p>\n

\"Site<\/a>

A primeira variante do site falso da Lace<\/p><\/div>\n

\"Outro<\/a>

A segunda variante do site falso da Lace<\/p><\/div>\n

Outra se parece com isto:<\/p>\n

Essas falsifica\u00e7\u00f5es se parecem muito com o site original da Lace, mas ainda assim diferem dele de muitas maneiras \u00f3bvias:<\/p>\n

\"O<\/a>

As vers\u00f5es falsas s\u00e3o semelhantes em alguns aspectos ao site genu\u00edno da Lace, mas diferem em outros pontos. Fonte<\/a><\/p><\/div>\n

Na verdade, os invasores transformaram um construtor Web com tecnologia de IA em uma arma para criar p\u00e1ginas falsas. Como os invasores agiram de forma apressada e acabaram deixando para tr\u00e1s alguns sinais reveladores, conseguimos identificar exatamente qual servi\u00e7o eles est\u00e3o utilizando: Lovable.<\/p>\n

O uso de uma ferramenta de IA permitiu que eles reduzissem bastante o tempo necess\u00e1rio para criar um site falso e produzissem falsifica\u00e7\u00f5es em escala industrial.<\/p>\n

Ferramenta de administra\u00e7\u00e3o remota da Syncro<\/h2>\n

Outra caracter\u00edstica comum dos sites falsos usados nessa campanha \u00e9 que todos eles distribuem exatamente a mesma carga. O agente mal-intencionado n\u00e3o criou seu pr\u00f3prio cavalo de Troia, nem comprou um no mercado clandestino. Em vez disso, ele est\u00e1 usando sua pr\u00f3pria vers\u00e3o de uma ferramenta de acesso remoto perfeitamente leg\u00edtima: a Syncro.<\/p>\n

O aplicativo original facilita o monitoramento centralizado e o acesso remoto para equipes de suporte de TI corporativas e provedores de servi\u00e7os gerenciados (MSPs). Os servi\u00e7os da Syncro s\u00e3o relativamente baratos, a partir de US$ 129 por m\u00eas, com um n\u00famero ilimitado de dispositivos gerenciados.<\/p>\n

\"Site<\/a>

Site falso da carteira de criptomoedas da Yoroi<\/p><\/div>\n

Ao mesmo tempo, a ferramenta tem recursos importantes: al\u00e9m do compartilhamento de tela, o servi\u00e7o tamb\u00e9m fornece execu\u00e7\u00e3o remota de comandos, transfer\u00eancia de arquivos, an\u00e1lise de logs, edi\u00e7\u00e3o do registro e mais a\u00e7\u00f5es em segundo plano. No entanto, o principal recurso da Syncro \u00e9 um processo simplificado de instala\u00e7\u00e3o e conex\u00e3o. O usu\u00e1rio (ou, neste caso, a v\u00edtima) s\u00f3 precisa baixar e executar o arquivo de instala\u00e7\u00e3o.<\/p>\n

A partir da\u00ed, a instala\u00e7\u00e3o \u00e9 executada completamente em segundo plano, carregando secretamente uma vers\u00e3o mal-intencionada da Syncro no computador. Como essa vers\u00e3o tem o CUSTOMER_ID do invasor codificado, ele passa a ter o controle total sobre o computador da v\u00edtima.<\/p>\n

\"Janela<\/a>

A janela do instalador da Syncro pisca na tela por alguns segundos, e somente um usu\u00e1rio atento poderia notar que o software errado est\u00e1 sendo configurado<\/p><\/div>\n

Depois que a Syncro \u00e9 instalada no dispositivo da v\u00edtima, os invasores passam a ter acesso total e podem us\u00e1-la para alcan\u00e7ar seus objetivos. Dado o contexto, esses ataques parecem estar roubando chaves da carteira de criptomoedas das v\u00edtimas e desviando fundos para as pr\u00f3prias contas dos invasores.<\/p>\n

\"Site<\/a>

Outro site falso, desta vez para o protocolo DeFi da Liqwid. Embora a Liqwid ofere\u00e7a apenas um aplicativo Web, o site falso permite que os usu\u00e1rios baixem vers\u00f5es para Windows, macOS e at\u00e9 mesmo Linux<\/p><\/div>\n

Como se proteger contra esses ataques<\/h2>\n

Essa campanha mal-intencionada representa uma amea\u00e7a maior para os usu\u00e1rios por dois motivos principais. Primeiro, os sites falsos criados com o servi\u00e7o de IA parecem bastante profissionais e seus URLs n\u00e3o s\u00e3o excessivamente suspeitos. Obviamente, tanto o design das p\u00e1ginas falsas quanto os dom\u00ednios usados diferem visivelmente dos reais, mas isso s\u00f3 se torna aparente na compara\u00e7\u00e3o direta. \u00c0 primeira vista, no entanto, \u00e9 f\u00e1cil confundir o falso com o genu\u00edno.<\/p>\n

Em segundo lugar, os invasores est\u00e3o usando uma ferramenta de acesso remoto leg\u00edtima para infectar os usu\u00e1rios. Isso significa que detectar a infec\u00e7\u00e3o pode ser dif\u00edcil.<\/p>\n

Nossa solu\u00e7\u00e3o de seguran\u00e7a<\/a>\u00a0tem um veredicto especial, \u201cNot-a-virus<\/a>\u201c, para casos como esses. Esse veredicto \u00e9 atribu\u00eddo, entre outras coisas, quando v\u00e1rias ferramentas de acesso remoto, inclusive a Syncro leg\u00edtima, s\u00e3o detectadas no dispositivo. Em rela\u00e7\u00e3o \u00e0s vers\u00f5es da Syncro usadas para fins mal-intencionados, nossa solu\u00e7\u00e3o de seguran\u00e7a<\/a>\u00a0as identifica como HEUR:Backdoor.OLE2.RA-Based.gen.<\/em><\/p>\n

\u00c9 importante lembrar que, por padr\u00e3o, um antiv\u00edrus n\u00e3o bloquear\u00e1 todas as ferramentas de administra\u00e7\u00e3o remotas leg\u00edtimas para evitar a interfer\u00eancia no uso intencional. Portanto, recomendamos que preste muita aten\u00e7\u00e3o \u00e0s notifica\u00e7\u00f5es da sua solu\u00e7\u00e3o de seguran\u00e7a. Caso veja um aviso de que um software Not-a-virus<\/em> foi detectado no seu dispositivo, leve-o a s\u00e9rio e, no m\u00ednimo, verifique qual aplicativo o acionou.<\/p>\n

Se voc\u00ea tem Kaspersky Premium<\/a> instalado, use o recurso de Detec\u00e7\u00e3o de acesso remoto<\/a> e, se necess\u00e1rio, a op\u00e7\u00e3o de remo\u00e7\u00e3o do aplicativo, que acompanha sua assinatura premium. Esse recurso detecta cerca de 30 dos aplicativos leg\u00edtimos de acesso remoto mais populares e, se voc\u00ea sabe que n\u00e3o instalou nenhum deles, deve realmente se preocupar.<\/p>\n

\"O<\/a>

O Kaspersky Premium detecta (e permite remover) at\u00e9 mesmo vers\u00f5es leg\u00edtimas da Syncro e de outros aplicativos de acesso remoto.<\/p><\/div>\n

Outras recomenda\u00e7\u00f5es:<\/p>\n