Uma campanha de engenharia social bem conhecida chamada SmartApeSG voltou ao destaque, desta vez usando scripts ClickFix para plantar silenciosamente malware de acesso remoto (RAT) em computadores Windows. A campanha atrai vítimas através de páginas de verificação falsas que enganam os usuários para executarem um script malicioso sem perceberem o dano completo que causam.
O que torna esta onda especialmente preocupante é que o ataque não para em uma única peça de malware. Ele entrega uma segunda ferramenta mais poderosa assim que ganha uma posição dentro do sistema. A cadeia de infecção começa quando um usuário visita um site comprometido ou malicioso exibindo uma página de "verificação" falsa. Esta página instrui o visitante a copiar e executar um script PowerShell ou similar, que é a técnica ClickFix.
Descoberta e escopo
O Internet Storm Center disse em um relatório compartilhado com a Cyber Security News que identificaram a campanha após observar uma infecção suspeita em 27 de maio de 2026. O pesquisador Brad Duncan observou que um RAT não identificado estava gerando tráfego codificado para um servidor de comando e controle desde pelo menos abril de 2026. A descoberta confirmou que esta campanha estava rodando silenciosamente por várias semanas antes de ser documentada e publicada formalmente.
O que diferencia este ataque é seu design deliberado em duas etapas. A primeira etapa deixa um RAT não identificado que envia tráfego codificado para seu servidor C2 sobre a porta TCP 443, fazendo-o se misturar com o tráfego web regular. Uma vez que o RAT inicial está no lugar, ele puxa um segundo payload: um pacote malicioso do NetSupport Manager RAT, uma ferramenta de acesso remoto legítima que os atacantes reaproveitaram para tomar controle não autorizado das máquinas infectadas.
Vetor e exploração
A campanha SmartApeSG usa uma página de verificação de navegador falsa como seu ponto de entrada, uma tática que cresceu cada vez mais popular entre os atores de ameaças. Os visitantes são informados para executar um script para "verificar" sua identidade, o que em vez disso executa o payload ClickFix. O script então entra em contato com a infraestrutura do atacante para buscar um arquivo ZIP contendo o pacote RAT inicial de um servidor remoto.
Uma vez extraído e executado, o RAT inicial começa a enviar tráfego codificado para seu servidor C2 em um endereço IP fixo sobre a porta 443. O uso de tráfego codificado, não-SSL naquela porta é incomum e ajuda o malware a evitar ferramentas de detecção que esperam HTTPS padrão naquela porta. O RAT então puxa arquivos de acompanhamento através do mesmo canal C2 para preparar o sistema para a próxima etapa do ataque.
NetSupport RAT como payload persistente
A segunda etapa entrega um pacote malicioso NetSupport Manager RAT via um arquivo CAB que é buscado e extraído para o sistema. Um script de lote chamado token.bat lida com a extração e instalação, enquanto um arquivo VBScript chamado processor.vbs aciona o script de lote. Juntos, esses componentes instalam o NetSupport RAT e o configuram para ser executado automaticamente sempre que o sistema reiniciar.
Todo o processo é construído para permanecer silencioso e sobreviver a reinicializações. Após o NetSupport RAT ser instalado e tornar-se persistente no host, os scripts usados para configurá-lo são excluídos automaticamente, removendo rastros da comprometimento inicial. Esta etapa de limpeza torna a investigação forense mais difícil e revela o nível cuidadoso de planejamento por trás da campanha.
Indicadores de comprometimento (IoCs)
As equipes de segurança devem monitorar a execução incomum do PowerShell ligada a eventos de navegador, pois este é um sinal claro da técnica ClickFix sendo abusada. Bloquear o acesso a domínios suspeitos ou recém-registrados também pode reduzir o risco geral. As equipes de segurança devem observar tráfego codificado sobre a porta 443 que não segue padrões normais de SSL/TLS, pois este é um comportamento conhecido do RAT inicial nesta cadeia.
| Tipo | Indicador | Descrição |
|---|---|---|
| URL | hxxps[:]//hiddenplanetlab[.]top/signin/secure-util.js | URL maliciosa SmartApeSG observada 27 de maio de 2026 |
| URL | hxxps[:]//hiddenplanetlab[.]top/signin/private-template?c66kjD5i | URL maliciosa SmartApeSG observada 27 de maio de 2026 |
| URL | hxxps[:]//silverharvestnetwork[.]com/check | Tráfego C2 script ClickFix; também hospeda arquivo ZIP RAT inicial |
| IP Address | 178.156.165[.]82 | Tráfego C2 script ClickFix |
| IP Address | 89.110.110[.]119:443 | Servidor C2 RAT inicial (TCP porta 443, tráfego codificado) |
| IP Address | 185.163.47[.]217:443 | Servidor C2 NetSupport RAT |
| File Path | C:\ProgramData\processor.vbs | VBScript inicial deixado no host infectado |
| File Path | C:\ProgramData\token.bat | Script de lote deixado no host infectado |
O que os CISOs devem fazer imediatamente
Defensores são aconselhados a monitorar a execução incomum do PowerShell ligada a eventos de navegador, pois este é um sinal claro da técnica ClickFix sendo abusada. Bloquear o acesso a domínios suspeitos ou recém-registrados também pode reduzir o risco geral. Como os domínios e hashes de arquivo usados nesta campanha rotacionam diariamente, verificar o feed @monitorsg no Mastodon é recomendado para os últimos indicadores.