NetSupport RAT via ClickFix – Como Limpar seu Site

NetSupport RAT, uma versão maliciosa do legítimo NetSupport Manager, permite que invasores obtenham controle total sobre dispositivos infectados. Recentemente, campanhas utilizando uma técnica conhecida como ClickFix têm aumentado significativamente, tornando essencial entender como identificá-las e eliminá-las.

Nesse artigo do blog Dolutech, vamos explorar profundamente como reconhecer e remover essa ameaça dos seus sites.

O que é o NetSupport RAT e ClickFix?

NetSupport RAT (Remote Access Trojan) é um malware que oferece controle remoto completo sobre o sistema da vítima. Normalmente, essa ameaça é entregue utilizando engenharia social através da técnica ClickFix. Neste método, o usuário é induzido por meio de falsas mensagens, como CAPTCHAs ou alertas de erro, a executar comandos PowerShell ou batch maliciosos no computador.

A combinação ClickFix e NetSupport RAT torna-se extremamente perigosa, pois o usuário, enganado, executa comandos diretamente em seu sistema operacional, infectando-o rapidamente.

Como Funciona a Cadeia de Ataque ClickFix?

A técnica ClickFix segue uma cadeia de ataque bastante estruturada:

1. Comprometimento do Site: Atacantes injetam scripts maliciosos como j.js ou alteram arquivos como o index.php, carregando scripts escondidos.
2. Apresentação de CAPTCHA Falso: Os scripts inseridos exibem um desafio CAPTCHA falso, copiam comandos maliciosos automaticamente para a área de transferência do usuário.
3. Execução do Comando: O usuário é instruído a abrir a janela “Executar” (Win + R), colar (Ctrl + V) e executar o comando copiado, que baixa e instala o NetSupport RAT.
4. Estabelecimento da Persistência: O malware cria entradas no registro do Windows para manter o acesso contínuo e comunica-se com o servidor de comando e controle (C2).

Indicadores de Comprometimento (IoCs)

Identificar a presença do NetSupport RAT por ClickFix pode ser facilitado com atenção a alguns indicadores técnicos:

• Domínios suspeitos: islonline.org, tradingviewtool.com, docusign.sa.com
• IPs suspeitos: Bloco 94.158.245.0/24 (Moldávia)
• Scripts suspeitos: j.js, select.js

Esses indicadores são essenciais para a detecção precoce de possíveis infecções.

Como Saber se o Seu Site Está Infectado?

Para identificar infecções, execute verificações detalhadas no seu ambiente:

Varredura de arquivos

Use comandos para buscar scripts suspeitos:

grep -R "clipboard.writeText" ./public_html

Ferramentas como WPScan são úteis para verificar plugins comprometidos.

Análise de Rede

Monitore conexões de saída incomuns, especialmente para IPs estrangeiros ou suspeitos.

Inspeção do DOM

Use ferramentas como DevTools para identificar iframes ocultos ou scripts externos não autorizados.

Logs do Servidor

Verifique logs de acesso, especialmente tentativas incomuns de POST e uploads.

Guia Prático: Como Limpar Sites Infectados

Se detectado o NetSupport RAT via ClickFix, siga esses passos rigorosamente:

1. Contenção: Coloque imediatamente o site em modo manutenção ou utilize um firewall para bloquear o tráfego suspeito.
2. Identificação: Compare arquivos atuais com backups limpos para identificar precisamente quais arquivos foram alterados.
3. Remoção: Remova arquivos suspeitos, scripts maliciosos (j.js, select.js) e plugins desconhecidos.
4. Atualização: Atualize o núcleo do WordPress, plugins e temas imediatamente. Gere novas chaves de segurança.
5. Mudança de Credenciais: Altere senhas do host, banco de dados e administrador do WordPress. Renove chaves SSH/FTP.
6. Verificação: Realize novos scans de segurança e monitore logs por pelo menos 48 horas.
7. Fortalecimento: Adote políticas rígidas como autenticação em dois fatores (2FA), e utilize headers HTTP como Content-Security-Policy e X-Frame-Options.

Melhores Práticas para Prevenção

Prevenir é sempre a melhor estratégia. Para evitar futuros ataques, considere as seguintes práticas:

• Realizar backups diários em local externo ao servidor, mantendo-os por pelo menos 30 dias.
• Implementar Web Application Firewalls (WAF) robustos com regras específicas para prevenir ataques JavaScript injection.
• Monitorar constantemente relatórios de segurança utilizando CSP e ferramentas como CrowdSec e Tripwire.
• Educar constantemente usuários sobre técnicas de engenharia social, demonstrando como identificar e evitar comportamentos suspeitos.

Conclusão

NetSupport RAT via ClickFix representa uma ameaça significativa que exige atenção e ação imediata. Utilizar as práticas recomendadas pela Dolutech pode proteger seu site e informações sensíveis contra invasores maliciosos.

Seguindo esses passos e mantendo-se informado, é possível proteger seu site e seus usuários dessa crescente ameaça digital.