Hack Alerta

Campanha SmartApeSG usa técnica ClickFix e CAPTCHA falso para entregar NetSupport RAT

Por Redação Hack Alerta Publicado em 14/11/2025 12:02 Cyber ataques Tempo de leitura: 3 min

A campanha SmartApeSG (ZPHP/HANEY MANEY) adotou uma técnica tipo ClickFix que exibe um CAPTCHA falso em sites comprometidos; ao clicar, o clipboard recebe um comando que usa mshta para baixar e executar NetSupport RAT, com persistência via atalho no Start Menu.

O grupo por trás da campanha SmartApeSG (também identificado como ZPHP ou HANEY MANEY) está empregando uma variação do método ClickFix para induzir vítimas a executar comandos que instalam o NetSupport RAT em máquinas Windows.

Descoberta e escopo

Pesquisadores do Internet Storm Center identificaram que a campanha, relatada originalmente em junho de 2024, evoluiu de páginas falsas de atualização de navegador para um mecanismo que exibe um CAPTCHA falso — um "verify you are human" — em sites comprometidos. O ataque é ativado por scripts maliciosos injetados nas páginas visitadas pelos alvos.

Vetor e técnica de execução

Ao clicar na caixa de verificação do CAPTCHA falso, o usuário passa a ter o conteúdo do clipboard sobrescrito com uma string de comando maliciosa. Essa string utiliza o utilitário mshta para buscar e executar código hospedado em servidores controlados pelos atacantes — segundo a análise do Internet Storm Center. As fontes explicam que o método prioriza engenharia social sobre exploração de vulnerabilidades no software, o que dificulta a detecção por controles tradicionais.

Persistência e payload

O pacote final instalado é o NetSupport RAT, ferramenta de acesso remoto que dá controle extensivo sobre a máquina infectada. A persistência é conseguida criando-se um atalho no Start Menu que executa um arquivo JavaScript armazenado em AppData\Local\Temp; esse JavaScript, por sua vez, lança o binário do RAT localizado em C:\ProgramData\. As matérias consultadas descrevem essa cadeia de persistência como robusta contra remediações simples de usuários comuns.

Impacto e recomendações

NetSupport RAT permite roubo de dados, monitoramento de atividade e implantação de malware adicional. As fontes ressaltam que a infraestrutura do SmartApeSG — domínios, C2 e pacotes maliciosos — muda quase diariamente, aumentando a necessidade de atualizações constantes de threat intelligence.

Medidas práticas para defesa

  • Educar usuários sobre os riscos de interagir com caixas de verificação/CAPTCHA suspeitos em páginas inesperadas.
  • Bloquear, em nível de rede, conexões para domínios associados à campanha e atualizar filtros de proxies/NGFW com indicadores fornecidos por ISACs e fornecedores de threat intelligence.
  • Monitorar criação de atalhos no Start Menu, execução de mshta e scripts invocados a partir de AppData\Local\Temp como possíveis sinais de comprometimento.
  • Aplicar controles de prevenção contra execução de comandos por clipboard e políticas de execução restritiva de mshta, quando compatível com o ambiente.

Limitações das informações

As publicações não trazem números de vítimas nem domínios-IoC listados em texto acessível nas matérias consultadas. Também não há, nas fontes usadas, atribuição a um ator específico além dos apelidos já conhecidos para a campanha. A análise do Internet Storm Center é a base das descrições técnicas disponíveis.

Equipes de SOC e threat intelligence devem priorizar a verificação de sinais comportamentais (mshta, atalhos do Start Menu, execução de JavaScript a partir de diretórios temporários) e coordenar bloqueios de infraestrutura quando IOCs confiáveis forem obtidos de feeds especializados.

Baseado em publicação original de Cyber Security News
Tags: #smartapesg #netsupport #clickfix #fake-captcha #mshta #clipboard #persistence #malware #threat-intel
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar