NetSupport RAT, uma versão maliciosa do legítimo NetSupport Manager, permite que invasores obtenham controle total sobre dispositivos infectados. Recentemente, campanhas utilizando uma técnica conhecida como ClickFix têm aumentado significativamente, tornando essencial entender como identificá-las e eliminá-las.
Nesse artigo do blog Dolutech, vamos explorar profundamente como reconhecer e remover essa ameaça dos seus sites.
O que é o NetSupport RAT e ClickFix?
NetSupport RAT (Remote Access Trojan) é um malware que oferece controle remoto completo sobre o sistema da vítima. Normalmente, essa ameaça é entregue utilizando engenharia social através da técnica ClickFix. Neste método, o usuário é induzido por meio de falsas mensagens, como CAPTCHAs ou alertas de erro, a executar comandos PowerShell ou batch maliciosos no computador.
A combinação ClickFix e NetSupport RAT torna-se extremamente perigosa, pois o usuário, enganado, executa comandos diretamente em seu sistema operacional, infectando-o rapidamente.
Como Funciona a Cadeia de Ataque ClickFix?
A técnica ClickFix segue uma cadeia de ataque bastante estruturada:
- Comprometimento do Site: Atacantes injetam scripts maliciosos como
j.jsou alteram arquivos como oindex.php, carregando scripts escondidos. - Apresentação de CAPTCHA Falso: Os scripts inseridos exibem um desafio CAPTCHA falso, copiam comandos maliciosos automaticamente para a área de transferência do usuário.
- Execução do Comando: O usuário é instruído a abrir a janela “Executar” (Win + R), colar (Ctrl + V) e executar o comando copiado, que baixa e instala o NetSupport RAT.
- Estabelecimento da Persistência: O malware cria entradas no registro do Windows para manter o acesso contínuo e comunica-se com o servidor de comando e controle (C2).
Indicadores de Comprometimento (IoCs)
Identificar a presença do NetSupport RAT por ClickFix pode ser facilitado com atenção a alguns indicadores técnicos:
- Domínios suspeitos:
islonline.org,tradingviewtool.com,docusign.sa.com - IPs suspeitos: Bloco 94.158.245.0/24 (Moldávia)
- Scripts suspeitos:
j.js,select.js
Esses indicadores são essenciais para a detecção precoce de possíveis infecções.
Como Saber se o Seu Site Está Infectado?
Para identificar infecções, execute verificações detalhadas no seu ambiente:
Varredura de arquivos
Use comandos para buscar scripts suspeitos:
grep -R "clipboard.writeText" ./public_htmlFerramentas como WPScan são úteis para verificar plugins comprometidos.
Análise de Rede
Monitore conexões de saída incomuns, especialmente para IPs estrangeiros ou suspeitos.
Inspeção do DOM
Use ferramentas como DevTools para identificar iframes ocultos ou scripts externos não autorizados.
Logs do Servidor
Verifique logs de acesso, especialmente tentativas incomuns de POST e uploads.
Guia Prático: Como Limpar Sites Infectados
Se detectado o NetSupport RAT via ClickFix, siga esses passos rigorosamente:
- Contenção: Coloque imediatamente o site em modo manutenção ou utilize um firewall para bloquear o tráfego suspeito.
- Identificação: Compare arquivos atuais com backups limpos para identificar precisamente quais arquivos foram alterados.
- Remoção: Remova arquivos suspeitos, scripts maliciosos (
j.js,select.js) e plugins desconhecidos. - Atualização: Atualize o núcleo do WordPress, plugins e temas imediatamente. Gere novas chaves de segurança.
- Mudança de Credenciais: Altere senhas do host, banco de dados e administrador do WordPress. Renove chaves SSH/FTP.
- Verificação: Realize novos scans de segurança e monitore logs por pelo menos 48 horas.
- Fortalecimento: Adote políticas rígidas como autenticação em dois fatores (2FA), e utilize headers HTTP como
Content-Security-PolicyeX-Frame-Options.
Melhores Práticas para Prevenção
Prevenir é sempre a melhor estratégia. Para evitar futuros ataques, considere as seguintes práticas:
- Realizar backups diários em local externo ao servidor, mantendo-os por pelo menos 30 dias.
- Implementar Web Application Firewalls (WAF) robustos com regras específicas para prevenir ataques JavaScript injection.
- Monitorar constantemente relatórios de segurança utilizando CSP e ferramentas como CrowdSec e Tripwire.
- Educar constantemente usuários sobre técnicas de engenharia social, demonstrando como identificar e evitar comportamentos suspeitos.
Conclusão
NetSupport RAT via ClickFix representa uma ameaça significativa que exige atenção e ação imediata. Utilizar as práticas recomendadas pela Dolutech pode proteger seu site e informações sensíveis contra invasores maliciosos.
Seguindo esses passos e mantendo-se informado, é possível proteger seu site e seus usuários dessa crescente ameaça digital.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
