{"id":281536,"date":"2025-05-29T20:39:22","date_gmt":"2025-05-29T19:39:22","guid":{"rendered":"https:\/\/www.jibble.io\/news\/time-tracking-ransomware"},"modified":"2025-06-26T06:27:21","modified_gmt":"2025-06-26T05:27:21","slug":"controle-ponto-ransomware","status":"publish","type":"news","link":"https:\/\/www.jibble.io\/pt-br\/noticias\/controle-ponto-ransomware","title":{"rendered":"Ataque de ransomware com software de controle de ponto Kickidler"},"content":{"rendered":"

Hackers est\u00e3o abusando da ferramenta de controle de ponto<\/a> Kickidler para espionar empresas e auxiliar opera\u00e7\u00f5es de ransomware<\/em>, conforme noticiado pelo site BleepingComputer em 8 de maio de 2025.<\/p>\n

 <\/p>\n

O<\/em> Ransomware<\/em><\/strong><\/span> \u00e9 uma forma de malware usada por cibercriminosos para impedir o acesso a dados importantes, destru\u00ed-los ou amea\u00e7ar divulg\u00e1-los, exigindo o pagamento de um resgate para reverter a situa\u00e7\u00e3o.<\/span><\/em><\/p><\/blockquote>\n

 <\/p>\n

Os atacantes utilizaram an\u00fancios falsos do Google para distribuir um cavalo de Troia<\/a> (trojan<\/em>), que instala silenciosamente uma amea\u00e7a cibern\u00e9tica com backdoor<\/em><\/a>. Uma vez dentro do sistema, eles implantam o Kickidler para registrar pressionamentos de teclas (keylogging<\/em>) e gravar as telas, transformando um software de produtividade numa oportunidade para roubo de dados.<\/p>\n

 <\/p>\n

Como uma ferramenta de controle de ponto virou arma cibern\u00e9tica?<\/h2>\n

 <\/p>\n

O Kickidler<\/a> \u00e9 normalmente usado para monitorar a atividade de funcion\u00e1rios. Ele oferece grava\u00e7\u00e3o de tela, registro de uso e rastreamento de teclas digitadas, sendo projetado para ajudar empresas a garantir responsabilidade e produtividade.<\/p>\n

 <\/p>\n

No entanto, quando instalado de forma oculta por criminosos, esses mesmos recursos se tornam instrumentos de espionagem corporativa e roubo de credenciais.<\/p>\n

 <\/p>\n

A viola\u00e7\u00e3o inicial ocorre quando administradores de TI clicam em an\u00fancios fraudulentos ao buscar o RVTools, uma ferramenta gratuita usada para auditar ambientes VMware. O download, hospedado em um site falso, instala um backdoor<\/em> baseado em PowerShell chamado SMOKEDHAM.<\/p>\n

 <\/p>\n

Esse backdoor<\/em> permite que os invasores instalem malwares<\/em> silenciosamente, monitorem a atividade dos funcion\u00e1rios e coletem credenciais de acesso.<\/p>\n

 <\/p>\n

Ap\u00f3s reunir informa\u00e7\u00f5es suficientes, os criminosos se movimentam lateralmente pela rede, visando a infraestrutura virtual \u2014 especialmente os servidores VMware ESXi.<\/p>\n

 <\/p>\n

Esses servidores hospedam m\u00faltiplas m\u00e1quinas virtuais, tornando-se alvos ideais para ataques de ransomware. Os invasores utilizam ferramentas como VMware, PowerCLI e WinSCP para habilitar conex\u00f5es SSH, enviar scripts<\/em> de ransomware<\/em> e criptografar arquivos VMDK (disco virtual), paralisando opera\u00e7\u00f5es e roubando dados confidenciais.<\/p>\n

 <\/p>\n

Quem est\u00e1 por tr\u00e1s dos ataques de ransomware?<\/h2>\n

 <\/p>\n

Dois grupos de ransomware<\/em>, Qilin e Hunters International, foram ligados a essas a\u00e7\u00f5es. Ambos s\u00e3o conhecidos por t\u00e9cnicas avan\u00e7adas de infiltra\u00e7\u00e3o e v\u00eam adotando o uso de ferramentas leg\u00edtimas para dificultar a detec\u00e7\u00e3o.<\/p>\n

 <\/p>\n

Essa t\u00e1tica, conhecida como living off the land<\/em>, permite que os atacantes utilizem softwares confi\u00e1veis contra as pr\u00f3prias empresas, contornando antiv\u00edrus tradicionais e evitando levantar suspeitas.<\/p>\n

 <\/p>\n

Living off the land<\/strong><\/span>\u00a0(em tradu\u00e7\u00e3o literal, “vivendo da terra”) \u00e9 uma t\u00e9cnica de ciberataque do tipo fileless malware ou LOLbins, na qual o criminoso digital se aproveita de ferramentas nativas e leg\u00edtimas j\u00e1 presentes no sistema da v\u00edtima para manter e avan\u00e7ar a invas\u00e3o, sem precisar instalar arquivos maliciosos externos.<\/em><\/p><\/blockquote>\n

 <\/p>\n

Especialistas em ciberseguran\u00e7a alertam que mais operadores de ransomware devem seguir esse mesmo caminho.<\/p>\n

 <\/p>\n

Como as empresas podem se proteger de ataques de ransomware?<\/h2>\n

 <\/p>\n

Este ataque evidencia a necessidade de maior visibilidade sobre as ferramentas leg\u00edtimas instaladas nos dispositivos corporativos. O Kickidler n\u00e3o foi desenvolvido com inten\u00e7\u00f5es maliciosas, mas quando sequestrado, torna-se quase indistingu\u00edvel de um spyware<\/em>.<\/p>\n

 <\/p>\n

Para evitar ataques semelhantes, as organiza\u00e7\u00f5es devem:<\/p>\n

 <\/p>\n