Hack Alerta

SmartApeSG: campanha ClickFix entrega múltiplos malwares em ataque encadeado

Por Redação Hack Alerta Publicado em 25/03/2026 14:03 Cyber ataques Tempo de leitura: 4 min

Campanha SmartApeSG utiliza técnica ClickFix para entregar quatro malwares em sequência, incluindo Remcos e StealC, explorando side-loading de DLLs e engenharia social.

Introdução

Uma nova onda de atividade maliciosa identificada como SmartApeSG tem demonstrado a evolução das táticas de entrega de malware, utilizando engenharia social sofisticada para implantar múltiplas ferramentas de ataque em uma única sessão. A campanha, ativa desde pelo menos 24 de março de 2026, explora a técnica conhecida como ClickFix para enganar usuários e executar scripts maliciosos diretamente em seus sistemas.

Descoberta e escopo da campanha

Investigadores do Internet Storm Center identificaram esta variante da campanha SmartApeSG, também rastreada sob os nomes ZPHP e HANEYMANEY. O ataque opera injetando scripts maliciosos em sites legítimos que já foram comprometidos previamente. Quando uma vítima visita um desses sites, ela é redirecionada para uma página de CAPTCHA falsa, projetada para parecer uma verificação de segurança rotineira, mas que na verdade serve como isca para a execução de código malicioso.

O mecanismo ClickFix e a cadeia de infecção

A técnica ClickFix é particularmente perigosa porque transfere a responsabilidade da execução para o usuário final. A página falsa de CAPTCHA contém instruções que copiam silenciosamente um script malicioso para a área de transferência do usuário. Em seguida, a vítima é instruída a colar e executar esse script manualmente através da caixa de diálogo Executar do Windows. Uma vez que o usuário segue essas etapas, a cadeia de infecção é ativada e roda sem sinais óbvios de alerta no sistema comprometido.

Armadilha de múltiplos payloads

O que torna esta campanha especialmente preocupante é a entrega escalonada de quatro malwares distintos em uma única sessão de infecção. A análise de tráfego de rede revelou uma sequência temporal precisa:

  • Remcos RAT: Detectado apenas um minuto após a execução do script ClickFix.
  • NetSupport RAT: Seguiu quatro minutos após o Remcos.
  • StealC: Começou a enviar dados para seu servidor de comando e controle aproximadamente uma hora depois.
  • Sectop RAT (ArechClient2): Apareceu cerca de uma hora e dezoito minutos após o StealC.

Essa entrega escalonada oferece aos defensores uma janela estreita para interceptar a infecção antes que múltiplas ameaças estejam rodando em paralelo no mesmo sistema.

Análise técnica: DLL Side-Loading

Um aspecto tecnicamente notável desta campanha é o uso de DLL Side-Loading para ocultar o código malicioso. Os arquivos de arquivo para Remcos RAT, StealC e Sectop RAT utilizam essa técnica, onde um arquivo executável legítimo e reconhecido é usado para carregar silenciosamente um arquivo DLL malicioso ao lado dele. Como o executável principal parece limpo e familiar, muitas ferramentas de segurança podem não sinalizar imediatamente o que está acontecendo.

NetSupport RAT segue um caminho diferente, pois é em si um aplicativo legítimo de suporte remoto, mas nesta campanha foi configurado para se conectar a um servidor controlado pelo atacante em vez de um servidor confiável.

Impacto e alcance

A combinação geral de payloads — um RAT com capacidade de keylogger, uma ferramenta de suporte remoto virada contra os usuários, um coletor de credenciais e um segundo RAT — deixa claro que a SmartApeSG foi construída para dar aos atacantes acesso profundo e variado a uma máquina vítima a partir de um único evento de infecção. O impacto é sério porque não se limita a uma única família de malware.

Medidas de mitigação recomendadas

As organizações são fortemente aconselhadas a bloquear os domínios urotypos[.]com e fresicrto[.]top no nível de DNS e firewall. Além disso, é necessário monitorar o tráfego de saída em direção aos endereços IP 95.142.45[.]231, 185.163.47[.]220, 89.46.38[.]100 e 195.85.115[.]11.

Os funcionários devem ser treinados para nunca colar ou executar conteúdo da área de transferência solicitado por qualquer site. As equipes de segurança também devem vigiar a execução inesperada de arquivos HTA e atividades incomuns de carregamento de DLL dentro de diretórios acessíveis ao usuário, como AppData e ProgramData.

Perguntas frequentes

Como identificar um ataque ClickFix? Desconfie de páginas que pedem para você copiar e colar código ou executar scripts no terminal ou na caixa de executar do Windows.

Qual a prioridade de resposta? Bloquear os domínios maliciosos e monitorar processos que carregam DLLs de diretórios de usuário.

Baseado em publicação original de Cyber Security News
Tags: #=smartapesg #clickfix #remcos #stealc #malware #dll #ransomware #ataque #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar