Ataque de ransomware com software de controle de ponto Kickidler

Foto por Jefferson Santos no Unsplash
Por: Jennifer Blair

Hackers estão abusando da ferramenta de controle de ponto Kickidler para espionar empresas e auxiliar operações de ransomware, conforme noticiado pelo site BleepingComputer em 8 de maio de 2025.

 

O Ransomware é uma forma de malware usada por cibercriminosos para impedir o acesso a dados importantes, destruí-los ou ameaçar divulgá-los, exigindo o pagamento de um resgate para reverter a situação.

 

Os atacantes utilizaram anúncios falsos do Google para distribuir um cavalo de Troia (trojan), que instala silenciosamente uma ameaça cibernética com backdoor. Uma vez dentro do sistema, eles implantam o Kickidler para registrar pressionamentos de teclas (keylogging) e gravar as telas, transformando um software de produtividade numa oportunidade para roubo de dados.

 

Como uma ferramenta de controle de ponto virou arma cibernética?

 

O Kickidler é normalmente usado para monitorar a atividade de funcionários. Ele oferece gravação de tela, registro de uso e rastreamento de teclas digitadas, sendo projetado para ajudar empresas a garantir responsabilidade e produtividade.

 

No entanto, quando instalado de forma oculta por criminosos, esses mesmos recursos se tornam instrumentos de espionagem corporativa e roubo de credenciais.

 

A violação inicial ocorre quando administradores de TI clicam em anúncios fraudulentos ao buscar o RVTools, uma ferramenta gratuita usada para auditar ambientes VMware. O download, hospedado em um site falso, instala um backdoor baseado em PowerShell chamado SMOKEDHAM.

 

Esse backdoor permite que os invasores instalem malwares silenciosamente, monitorem a atividade dos funcionários e coletem credenciais de acesso.

 

Após reunir informações suficientes, os criminosos se movimentam lateralmente pela rede, visando a infraestrutura virtual — especialmente os servidores VMware ESXi.

 

Esses servidores hospedam múltiplas máquinas virtuais, tornando-se alvos ideais para ataques de ransomware. Os invasores utilizam ferramentas como VMware, PowerCLI e WinSCP para habilitar conexões SSH, enviar scripts de ransomware e criptografar arquivos VMDK (disco virtual), paralisando operações e roubando dados confidenciais.

 

Quem está por trás dos ataques de ransomware?

 

Dois grupos de ransomware, Qilin e Hunters International, foram ligados a essas ações. Ambos são conhecidos por técnicas avançadas de infiltração e vêm adotando o uso de ferramentas legítimas para dificultar a detecção.

 

Essa tática, conhecida como living off the land, permite que os atacantes utilizem softwares confiáveis contra as próprias empresas, contornando antivírus tradicionais e evitando levantar suspeitas.

 

Living off the land (em tradução literal, “vivendo da terra”) é uma técnica de ciberataque do tipo fileless malware ou LOLbins, na qual o criminoso digital se aproveita de ferramentas nativas e legítimas já presentes no sistema da vítima para manter e avançar a invasão, sem precisar instalar arquivos maliciosos externos.

 

Especialistas em cibersegurança alertam que mais operadores de ransomware devem seguir esse mesmo caminho.

 

Como as empresas podem se proteger de ataques de ransomware?

 

Este ataque evidencia a necessidade de maior visibilidade sobre as ferramentas legítimas instaladas nos dispositivos corporativos. O Kickidler não foi desenvolvido com intenções maliciosas, mas quando sequestrado, torna-se quase indistinguível de um spyware.

 

Para evitar ataques semelhantes, as organizações devem:

 

  • Auditar e restringir instalações de software – Equipes de TI devem revisar regularmente os softwares instalados e limitar instalações a usuários autorizados.
  • Bloquear ferramentas de monitoramento e RMM não autorizadas – Configurações de controle de aplicações devem impedir que ferramentas como o Kickidler sejam instaladas sem permissão.
  • Treinar colaboradores para identificar phishing e malvertising – O malvertising (publicidade maliciosa) é uma ameaça crescente. Funcionários devem verificar links de download e evitar fontes de terceiros.
  • Monitorar comportamento, não só assinaturas de malware – Ferramentas de análise comportamental detectam atividades suspeitas, como keylogging ou captura de tela, mesmo quando vindas de softwares legítimos.
  • Segmentar sistemas virtuais e de backup – Limitar o acesso entre endpoints comuns e infraestruturas críticas ajuda a impedir movimentações laterais após uma invasão.

 

Lições aprendidas

 

O ataque com Kickidler é um exemplo claro de como ferramentas confiáveis de trabalho podem ser transformadas em armas. À medida que os ecossistemas de software se tornam mais complexos, equipes de TI e segurança precisam tratar cada ferramenta com atenção redobrada.

 

Softwares de controle de presença devem ser cuidadosamente escolhidos e auditados com frequência. Quando uma ferramenta criada para aumentar a produtividade é usada para destruí-la, isso nos lembra que a confiança digital deve ser conquistada, validada e protegida.

 

Artigos Relacionados:

A IA irá Revolucionar o Monitoramento dos Funcionários

Prós e Contras de Monitoramento dos Funcionários Pros and Cons of Employee Monitoring

Formas de Burlar o Monitoramento de Capturas de Tela

10 Razões para Auto-hospedar seu Software de Controle de Horas

Como Implementar um Software de Controle de Ponto

Ver Todos