Hackers Usam Técnica ClickFix para Distribuir Carregadores NetSupport RAT

BR Defense Center (By River de Morais e Silva)
malware

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Fonte: https://cyberpress.org/clickfix-technique/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
27/10/2025 • Risco: ALTO
MALWARE

Hackers Usam Técnica ClickFix para Distribuir Carregadores NetSupport RAT

RESUMO EXECUTIVO
O uso da técnica ClickFix para distribuir o NetSupport RAT representa uma ameaça significativa para organizações que utilizam sistemas Windows. A capacidade dos atacantes de manipular usuários para executar comandos maliciosos destaca a necessidade de medidas de segurança robustas e treinamento contínuo para funcionários.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados a incidentes de segurança e recuperação de sistemas comprometidos.
Operacional
Comprometimento de sistemas e instalação de ferramentas de administração remota.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Educação']

📊 INDICADORES CHAVE

Até 999,999 escravos suportados pela campanha FSHGDREE32/SGI. Indicador
Variações de licença utilizadas pelos grupos de ataque. Contexto BR
Infraestrutura espalhada por vários países, incluindo EUA e Reino Unido. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se há instalação não autorizada do NetSupport em sistemas.
2 Desabilitar o Prompt de Execução do Windows via Política de Grupo.
3 Monitorar tráfego de rede para identificar comunicações com servidores de conectividade do NetSupport.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação das técnicas de engenharia social e a vulnerabilidade de sistemas amplamente utilizados.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).