Netsupport Rat

Pesquisadores de cibersegurança identificaram uma nova campanha chamada JS#SMUGGLER, que utiliza sites comprometidos para distribuir um trojan de acesso remoto conhecido como NetSupport RAT. A análise da Securonix revela que a cadeia de ataque envolve um carregador JavaScript ofuscado injetado em um site, um aplicativo HTML (HTA) que executa estagiários PowerShell criptografados via ‘mshta.exe’, e um payload PowerShell que baixa e executa o malware principal. O NetSupport RAT permite controle total do host comprometido, incluindo acesso remoto, operações de arquivos e roubo de dados. A campanha, que ainda não está ligada a nenhum grupo de ameaças conhecido, visa usuários empresariais e utiliza técnicas sofisticadas de evasão, como iframes ocultos e execução em camadas de scripts. Os pesquisadores recomendam a implementação de medidas de segurança robustas, como monitoramento de scripts e restrições ao mshta.exe, para detectar e mitigar esses ataques.

O grupo de hackers conhecido como Bloody Wolf tem sido responsável por uma campanha de ataques cibernéticos que visa o Quirguistão desde junho de 2025, com a intenção de implantar o NetSupport RAT, um software de acesso remoto. De acordo com um relatório da Group-IB, a atividade do grupo se expandiu para o Uzbequistão, afetando setores como finanças, governo e tecnologia da informação. Os atacantes utilizam engenharia social, se passando pelo Ministério da Justiça do Quirguistão, enviando documentos PDF que contêm links maliciosos para arquivos Java Archive (JAR). Esses arquivos são projetados para instalar o NetSupport RAT, permitindo que os hackers mantenham controle sobre os sistemas comprometidos. A campanha no Uzbequistão é notável por implementar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto usuários internos são direcionados para o download do malware. A utilização de ferramentas de baixo custo e a exploração da confiança em instituições governamentais têm permitido ao Bloody Wolf operar com eficácia na região da Ásia Central.

Pesquisadores identificaram a continuidade da campanha SmartApeSG, que agora utiliza um vetor de ataque do tipo CAPTCHA falso, conhecido como ClickFix, para entregar cargas maliciosas do NetSupport RAT. Essa campanha, que surgiu em meados de 2024, inicialmente distribuía malware por meio de páginas de atualização de navegador falsificadas. Na sua evolução mais recente, a SmartApeSG adotou uma enganação mais convincente, abusando da confiança do usuário para acionar a execução do malware manualmente.