Introdução
Este diário descreve uma infecção por Remcos RAT que gerei em meu laboratório na quinta-feira, 11/03/2026. Esta infecção veio da campanha SmartApeSG que usou uma página CAPTCHA falsa no estilo ClickFix.
Meu diário detalhado anterior sobre um SmartApeSG (ZPHP, HANEYMANEY) foi em novembro de 2025, quando vi o NetSupport Manager RAT. Desde então, tenho visto de forma bastante consistente o que parece ser o Remcos RAT desta campanha.
Encontrando atividade SmartApeSG
Conforme observado anteriormente, encontro indicadores SmartApeSG do Monitorar conta SG no Mastodon, e eu uso verificação de URL girar sobre esses indicadores para encontrar sites comprometidos com script SmartApeSG injetado.
Detalhes
Abaixo está uma imagem HTML em uma página de um site legítimo, mas comprometido, que mostra o script SmartApeSG injetado.
Mostrado acima: Página de um site legítimo, mas comprometido, que destaca o script SmartApeSG injetado.
O script SmartApeSG injetado gera uma página falsa no estilo CAPTCHA “verifique se você é humano”, que exibe instruções no estilo ClickFix após marcar uma caixa na página. Uma captura de tela desta infecção é mostrada abaixo e mostra o script estilo ClickFix injetado na área de transferência do usuário. Os usuários são instruídos a abrir uma janela de execução, colar o script nela e pressionar a tecla Enter.
Mostrado acima: página CAPTCHA falsa gerada por um site legítimo, mas comprometido, mostrando o comando estilo ClickFix.
Usei o Fiddler para revelar URLS do tráfego HTTPS, registrei o tráfego e o visualizei no Wireshark. O tráfego da cadeia de infecção é mostrado na imagem abaixo.
Mostrado acima: Tráfego da infecção no Fiddler e no Wireshark.
Depois de executar as instruções no estilo ClickFix, o malware foi enviado como um arquivo ZIP e salvo em disco com um .pdf extensão de arquivo. Este parece ser o Remcos RAT em um pacote malicioso que usa carregamento lateral de DLL para executar o malware. Esta infecção tornou-se persistente com uma atualização do Registro do Windows.
Mostrado acima: Malware da infecção persistente em um host Windows infectado.
Indicadores de compromisso
Script SmartApeSG injetado na página de um site legítimo, mas comprometido:
- hxxps(:)//cpajoliette(.)com/d.js
Tráfego para o domínio que hospeda a página CAPTCHA falsa:
- hxxps(:)//retrypoti(.)top/endpoint/signin-cache.js
- hxxps(:)//retrypoti(.)top/endpoint/login-asset.php?Iah0QU0N
- hxxps(:)//retrypoti(.)top/endpoint/handler-css.js?00109a4cb788daa811
Tráfego gerado pela execução do script estilo ClickFix:
- hxxp(:)//forcebiturg(.)com/boot <-- Redirecionamento 302 para URL HTTPS
- hxxps(:)//forcebiturg(.)com/boot <- arquivo HTA retornado
- hxxp(:)//forcebiturg(.)com/proc <-- Redirecionamento 302 para URL HTTPS
- hxxps(:)//forcebiturg(.)com/proc <- retornou arquivo ZIP com arquivos para Remcos RAT
Tráfego pós-infecção para Remcos RAT:
- 193.178.170(.)155:443 – Tráfego TLSv1.3 usando certificado autoassinado
Exemplo de arquivo ZIP para Remcos RAT:
- Hash SHA256: b170ffc8612618c822eb03030a8a62d4be8d6a77a11e4e41bb075393ca504ab7
- Tamanho do arquivo: 92.273.195 bytes
- Tipo de arquivo: dados de arquivo Zip, pelo menos v2.0 para extrair, método de compactação=deflate
- Exemplo de localização do arquivo salvo: C:Usuários(nome de usuário)AppDataLocalTemp594653818594653818.pdf
É importante ressaltar que os arquivos, URLs e domínios da atividade do SmartApeSG mudam quase diariamente e os indicadores descritos neste artigo provavelmente não são mais atuais. No entanto, os padrões gerais de atividade do SmartApeSG permaneceram bastante consistentes nos últimos meses.
—
Bradley Duncan
brad (at) malware-traffic-análise.net
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!