A equipe de pesquisa de ameaças da Securonix (Akshay Gaikwad, Shikha Sangwan, Aaron Beardslee) analisou uma sofisticada campanha de malware baseada na web com múltiplas etapas. A cadeia de ataque se desenrola em três estágios distintos: (1) um carregador JavaScript ofuscado injetado em um site comprometido, (2) um HTA (aplicativo HTML) furtivo que executa estágios PowerShell criptografados por meio do mshta.exe e (3) uma carga útil final em PowerShell que baixa, extrai, executa e estabelece persistência para um Trojan de acesso remoto baseado em Windows.
A análise confirma que o malware final entregue por meio dessa cadeia é o **NetSupport RAT**, uma ferramenta de administração remota amplamente utilizada de forma abusiva e reaproveitada para uso malicioso em campanhas de intrusão modernas. O NetSupport RAT permite ao atacante controle total sobre o host da vítima, incluindo acesso remoto à área de trabalho, operações com arquivos, execução de comandos, roubo de dados e recursos de proxy. Seu uso como etapa final destaca o objetivo do agente: acesso remoto completo e persistente.
As principais conclusões dessa ameaça que demonstra múltiplos comportamentos avançados e raramente documentados:
- Ofuscação em múltiplas camadas através de mapeamento de índices numéricos e rotação dinâmica de matrizes.
- Ramificação e rotação de domínio baseadas em dispositivo (móvel/desktop); lógica de persistência da primeira visita no carregador JavaScript.
- Execução de código baseado em HTA via mshta.exe – payloads do PowerShell criptografados com AES-256-ECB e compressão Base64 + GZIP.
- Baixa e instala o **NetSupport RAT**, uma estrutura de acesso remoto completa.
- Consegue manter a persistência através de atalhos disfarçados de startups.
Essas características indicam fortemente uma estrutura de malware modular e ativamente mantida, otimizada para furtividade e controle.
NetSupport RAT como carga útil final
O NetSupport Manager é uma ferramenta legítima de administração remota. Os atacantes têm-na reutilizado amplamente para controle remoto não autorizado, prática comumente designada como **NetSupport RAT** nos círculos de inteligência de ameaças.
Quando configurado como arma, o NetSupport RAT oferece aos atacantes:
• Controle remoto total da área de trabalho
• Navegação, upload e download de arquivos
• Capacidade de registro de teclas (se adicionada)
• Execução de comandos
• Tunelamento de proxy/movimentação lateral
• Reconhecimento e vigilância persistentes
Nesta campanha, o arquivo cli*.exe baixado corresponde a padrões conhecidos de droppers RAT da NetSupport: compactado em arquivos ZIP, renomeado com identificadores genéricos de cliente, executado indiretamente via JScript e persistido por meio de atalhos na pasta Inicializar.
A execução do NetSupport acontece por meio de um wscript.exe oculto; a camada de indireção (run.js) mascara a relação pai-filho; persistência por meio de um arquivo WindowsUpdate.lnk falso; instalação em ProgramData\CommunicationLayer (pasta com nome inócuo); não são necessários direitos de administrador devido ao modelo de persistência em nível de usuário.
Esta campanha demonstra uma cadeia de intrusão moderna em múltiplos estágios, projetada para discrição, modularidade e acesso remoto persistente. O Estágio 1 emprega ofuscação avançada de JavaScript, ramificação de payloads com reconhecimento de dispositivo e lógica de primeira visita. O Estágio 2 escala para um carregador HTA totalmente oculto que descriptografa e executa payloads PowerShell criptografados sem a necessidade de arquivos. O Estágio 3 instala o NetSupport RAT, concedendo recursos completos de controle remoto, enquanto persiste silenciosamente por meio de atalhos de inicialização e execução indireta via JScript.
A sofisticação e as técnicas de evasão em camadas indicam fortemente uma estrutura de malware de nível profissional e com manutenção ativa. Os defensores devem implementar medidas rigorosas de segurança de código (CSP), monitoramento de scripts, registro de logs do PowerShell, restrições ao mshta.exe e análise comportamental para detectar esses ataques com eficácia.
Esta campanha parece ter como alvo usuários corporativos em geral, por meio de sites comprometidos e redirecionadores silenciosos, em vez de um setor específico. As ferramentas e a infraestrutura sugerem operadores com motivação financeira ou intermediários de acesso. No entanto, atualmente não há evidências suficientes para atribuir a atividade a qualquer grupo de ameaças conhecido ou país.
Então:
- Fique atento a técnicas de engenharia social na web e garanta que os usuários evitem interagir com redirecionamentos desconhecidos, pop-ups ou solicitações de download de sites não confiáveis.
- Valide todos os downloads de software e certifique-se de que eles sejam provenientes apenas de domínios oficiais e verificados do fornecedor para evitar infecções automáticas por meio de sites comprometidos.
- Reforce as defesas dos endpoints: Implante um EDR capaz de detectar atividades suspeitas de scripts, abuso de HTA/mshta.exe, execução de PowerShell sem arquivo e cadeias anômalas de processos pai-filho (por exemplo, mshta.exe → powershell.exe → wscript.exe).
- Restrinja a execução de scripts: Implemente controles que impeçam a execução de scripts JavaScript, HTA e PowerShell não confiáveis, especialmente aqueles originários de caches de navegador, %TEMP% ou locais da internet.
- Ative o registro avançado: habilite o registro aprimorado do PowerShell, a auditoria da linha de comando e o registro do ScriptBlock para identificar comandos ofuscados e payloads sem arquivo em várias etapas. Monitore atalhos da pasta Inicializar e a criação incomum de arquivos nos diretórios ProgramData ou TEMP.
Os usuários do Securonix podem aproveitar as consultas de busca de ameaças abaixo para identificar endpoints potencialmente afetados por essa atividade RAT de múltiplos estágios do JS#SMUGGLER/NetSupport.
