Atores de ameaças exploram o ClickFix para implantar o NetSupport RAT nos últimos ataques cibernéticos
Desde o início de 2025, atores de ameaças têm utilizado a técnica ClickFix para distribuir o NetSupport RAT, um Remote Access Trojan (RAT) que concede controle total sobre o dispositivo da vítima. Essa técnica envolve a injeção de uma página falsa de CAPTCHA em sites comprometidos, enganando os usuários para que executem comandos maliciosos no PowerShell. O NetSupport RAT, originalmente uma ferramenta legítima de suporte remoto, foi adaptado por cibercriminosos para roubar informações sensíveis, como capturas de tela, áudio, vídeo e arquivos.
Neste artigo, vamos explorar como o NetSupport RAT é distribuído, como ele funciona e, principalmente, como você pode usar scripts em Python para mitigar esse tipo de ameaça. Vamos fornecer exemplos práticos de como detectar e bloquear atividades suspeitas relacionadas ao ClickFix e ao NetSupport RAT.
Como o NetSupport RAT é distribuído?
O NetSupport RAT é distribuído por meio da técnica ClickFix, que envolve as seguintes etapas:
-
Injeção de página falsa: Os atores de ameaças injetam uma página falsa de CAPTCHA em sites comprometidos.
-
Engenharia social: A página falsa instrui os usuários a copiar e executar comandos no PowerShell.
-
Execução de comandos maliciosos: O comando PowerShell baixa e executa o cliente NetSupport RAT a partir de um servidor remoto.
-
Controle remoto: O RAT concede controle total sobre o dispositivo da vítima, permitindo monitoramento em tempo real, transferência de arquivos e execução de comandos maliciosos.
Comportamento do NetSupport RAT
O NetSupport RAT possui as seguintes capacidades:
-
Monitoramento de tela: Captura o conteúdo da tela em tempo real.
-
Controle de teclado e mouse: Permite o controle remoto do dispositivo.
-
Transferência de arquivos: Upload e download de arquivos.
-
Execução de comandos: Executa comandos maliciosos no sistema infectado.
Mitigação com Python
Vamos criar scripts em Python para detectar e mitigar atividades suspeitas relacionadas ao NetSupport RAT e à técnica ClickFix.
1. Detecção de comandos PowerShell maliciosos
A técnica ClickFix envolve a execução de comandos PowerShell maliciosos. Podemos criar um script para monitorar a execução de comandos PowerShell suspeitos.
Script de monitoramento de PowerShell
import subprocess import re # Lista de comandos PowerShell suspeitos comandos_suspeitos = [ r"Invoke-WebRequest", r"Start-Process", r"NetSupport", r"DownloadFile", ] def monitorar_powershell(): try: # Executa o comando para listar processos PowerShell processos = subprocess.check_output(["ps", "-e", "-o", "args"]).decode("utf-8") for linha in processos.splitlines(): if "powershell" in linha.lower(): for comando in comandos_suspeitos: if re.search(comando, linha, re.IGNORECASE): print(f"[ALERTA] Comando PowerShell suspeito detectado: {linha}") except Exception as e: print(f"Erro ao monitorar processos: {e}") if __name__ == "__main__": print("[*] Iniciando monitoramento de comandos PowerShell...") while True: monitorar_powershell()
Como funciona?
-
O script monitora processos PowerShell em execução.
-
Se um comando suspeito for detectado (por exemplo, “Invoke-WebRequest” ou “NetSupport”), um alerta é gerado.
2. Bloqueio de conexões com Servidores C2
O NetSupport RAT se comunica com um servidor C2 (Command and Control) para receber instruções. Podemos criar um script para bloquear conexões suspeitas.
Script de bloqueio de conexões
import psutil import os # Lista de IPs suspeitos (exemplo) ips_suspeitos = ["192.168.1.100", "10.0.0.1"] def bloquear_conexoes_suspeitas(): for conexao in psutil.net_connections(kind='inet'): if conexao.status == 'ESTABLISHED': ip_remoto = conexao.raddr.ip if ip_remoto in ips_suspeitos: print(f"[ALERTA] Conexão suspeita detectada com {ip_remoto}") # Bloqueia a conexão (exemplo usando iptables no Linux) os.system(f"iptables -A INPUT -s {ip_remoto} -j DROP") print(f"[INFO] Conexão com {ip_remoto} bloqueada.") if __name__ == "__main__": print("[*] Iniciando monitoramento de conexões...") while True: bloquear_conexoes_suspeitas()
Como funciona?
-
O script monitora conexões de rede ativas.
-
Se uma conexão for detectada com um IP suspeito, ele bloqueia a conexão usando
iptables(no Linux).
3. Detecção de processos do NetSupport RAT
Podemos criar um script para detectar processos suspeitos relacionados ao NetSupport RAT.
Script de detecção de processos
import psutil # Lista de processos suspeitos processos_suspeitos = ["NetSupport", "nsclient"] def detectar_processos_suspeitos(): for processo in psutil.process_iter(['pid', 'name']): try: nome_processo = processo.info['name'].lower() for suspeito in processos_suspeitos: if suspeito.lower() in nome_processo: print(f"[ALERTA] Processo suspeito detectado: {nome_processo}
(PID: {processo.info['pid']})") except (psutil.NoSuchProcess, psutil.AccessDenied, psutil.ZombieProcess): continue if __name__ == "__main__": print("[*] Iniciando detecção de processos suspeitos...") while True:
Como Funciona?
-
O script verifica se há processos com nomes suspeitos, como “NetSupport” ou “nsclient”.
-
Se um processo suspeito for detectado, um alerta é gerado.
Conclusão
O NetSupport RAT é uma ameaça séria que usa técnicas como ClickFix para enganar os usuários e ganhar controle total sobre seus dispositivos. No entanto, com scripts de monitoramento e mitigação em Python, é possível detectar e bloquear atividades suspeitas antes que causem danos.
Lembre-se de que a segurança cibernética é um processo contínuo. Mantenha seus sistemas atualizados, eduque os usuários sobre os riscos de engenharia social e use ferramentas de detecção e resposta para proteger sua infraestrutura.
Fonte e imagens: https://thehackernews.com/2025/02/threat-actors-exploit-clickfix-to.html
