Golpes, Inteligência de Ameaças

Como convites falsos para festas estão a ser usados para instalar ferramentas de acesso remoto

por Stefan Dasic | 2 de fevereiro de 2026
convite para festa

«Está convidado!» 

Parece amigável, familiar e bastante inofensivo. Mas, num esquema que identificámos recentemente, essa frase simples está a ser usada para induzir as vítimas a instalar uma ferramenta de acesso remoto completa nos seusWindows , dando aos atacantes controlo total do sistema. 

O que parece ser um convite casual para uma festa ou evento leva à instalação silenciosa doScreenConnect, uma ferramenta legítima de suporte remoto instalada discretamente em segundo plano e utilizada indevidamente por atacantes. 

Veja como funciona o esquema, por que é eficaz e como se proteger. 

O e-mail: Um convite para uma festa 

As vítimas recebem um e-mail com o formato de um convite pessoal, muitas vezes escrito de forma a parecer que foi enviado por um amigo ou conhecido. A mensagem é deliberadamente informal e social, diminuindo a desconfiança e incentivando uma ação rápida. 

Na captura de ecrã abaixo, o e-mail chegou de um amigo cuja conta de e-mail foi invadida, mas poderia facilmente ter vindo de um remetente desconhecido.

Até agora, só vimos esta campanha a visar pessoas no Reino Unido, mas nada impede que ela se expanda para outros locais. 

Clicar no link do e-mail leva a uma página de convite bem elaborada, hospedada num domínio controlado pelo invasor. 

E-mail de convite para festa enviado por um contacto

O convite: a página inicial que leva ao instalador 

A página inicial se baseia fortemente no tema da festa, mas em vez de mostrar detalhes do evento, a página incentiva o utilizador a abrir um ficheiro. Nenhum deles parece perigoso por si só, mas juntos mantêm o utilizador focado no ficheiro de «convite»: 

  • Um título ousado: «Está convidado!» 
  • A sugestão de que um amigo tinha enviado o convite 
  • Uma mensagem informando que o convite é melhor visualizado numWindows ou desktopWindows
  • Uma contagem regressiva sugerindo que o seu convite já está a ser «transferido» 
  • Uma mensagem que transmite urgência e prova social (“Eu abri o meu e foi tão fácil!”

Em segundos, o navegador é redirecionado para o download. RSVPPartyInvitationCard.msi 

A página até inicia o download automaticamente para manter a vítima avançando sem parar para pensar. 

Este ficheiro MSI não é um convite. É um instalador. 

A página inicial

O convidado: O que a MSI realmente faz 

Quando o utilizador abre o ficheiro MSI, este inicia o msiexec.exe e instala silenciosamenteo ScreenConnect Client, uma ferramenta de acesso remoto legítima frequentemente utilizada por equipas de suporte de TI.  

Não há convite, formulário de confirmação de presença ou entrada no calendário. 

O que acontece em vez disso: 

  • Os binários do ScreenConnect são instalados em C:\Program Files (x86)\ScreenConnect Client\ 
  • É criado um Windows persistente Windows (por exemplo, ScreenConnect Client 18d1648b87bb3023) 
  • O ScreenConnect instala vários componentes baseados em .NET 
  • Não há nenhuma indicação clara para o utilizador de que uma ferramenta de acesso remoto está a ser instalada. 

Da perspetiva da vítima, parece que quase nada acontece. Mas, neste momento, o invasor já consegue aceder remotamente ao computador dela. 

A pós-festa: o acesso remoto é estabelecido 

Depois de instalado, o cliente ScreenConnect inicia ligações de saída encriptadas para os servidores de retransmissão do ScreenConnect, incluindo um domínio de instância atribuído exclusivamente.

Essa ligação dá ao invasor o mesmo nível de acesso que um técnico de TI remoto, incluindo a capacidade de: 

  • Veja o ecrã da vítima em tempo real
  • Controlar o rato e o teclado 
  • Carregar ou descarregar ficheiros 
  • Mantenha o acesso mesmo após o computador ser reiniciado 

Como o ScreenConnect é um software legítimo, comumente usado para suporte remoto, a sua presença nem sempre é óbvia. Num computador pessoal, os primeiros sinais são geralmente comportamentais, como movimentos inexplicáveis do cursor, windows sozinhas ou um processo do ScreenConnect que o utilizador não se lembra de ter instalado. 

Por que esse golpe funciona 

Esta campanha é eficaz porque visa o comportamento humano normal e previsível. Do ponto de vista da segurança comportamental, ela explora a nossa curiosidade natural e parece ser de baixo risco. 

A maioria das pessoas não considera os convites perigosos. Abrir um convite é algo passivo, como dar uma olhada num panfleto ou verificar uma mensagem, não instalar um software. 

Mesmo os utilizadores conscientes da segurança são treinados para ficar atentos a avisos e pressões. Uma mensagem amigável do tipo «você está convidado» não dispara esses alarmes. 

Quando algo parece errado, o software já está instalado. 

Sinais de que o seu computador pode estar afetado 

Fique atento a: 

  • Um ficheiro descarregado ou executado chamado RSVPPartyInvitationCard.msi 
  • Uma instalação inesperada doScreenConnect Client 
  • UmWindows chamado ScreenConnect Client com caracteres aleatórios  
  • O seu computador estabelece ligações HTTPS de saída para domínios de retransmissão do ScreenConnect. 
  • O seu sistema resolve o domínio de hospedagem de convites usado nesta campanha, xnyr[.]digital 

Como se manter seguro  

Esta campanha serve para lembrar que os ataques modernos muitas vezes não invadem — eles são convidados a entrar. As ferramentas de acesso remoto dão aos invasores um controle profundo sobre um sistema. Agir rapidamente pode limitar os danos.  

Para pessoas físicas 

Se receber um e-mail como este: 

  • Desconfie de convites que pedem para descarregar ou abrir software 
  • Nunca execute ficheiros MSI provenientes de e-mails não solicitados. 
  • Verifique os convites através de outro canal antes de abrir qualquer coisa. 

Se já clicou ou executou o ficheiro:  

  • Desligue-se imediatamente da Internet. 
  • Verifique se o ScreenConnect está instalado e desinstale-o, se estiver presente. 
  • Execute uma verificação de segurança completa 
  • Altere senhas importantes a partir de um dispositivo limpo e não afetado 

Para organizações (especialmente no Reino Unido) 

  • Alerta sobre instalações não autorizadas do ScreenConnect
  • Restringir a execução do MSI sempre que possível 
  • Trate as «ferramentas de suporte remoto» como software de alto risco
  • Informe os utilizadores: os convites não vêm como instaladores 

Este esquema funciona através da instalação de uma ferramenta de acesso remoto legítima sem a intenção clara do utilizador. É exatamente essa lacuna que Malwarebytes projetado para detectar.

Malwarebytes detecta ferramentas de acesso remoto recém-instaladas e alerta-o quando uma delas aparece no seu sistema. Você então tem duas opções: confirmar que a ferramenta é esperada e confiável ou removê-la, caso não seja.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes