netsupport-rat - RunkIntel

# NetSupport RAT > [!high] Ferramenta Legítima de Administração Remota Abusada como RAT > O NetSupport RAT é o abuso malicioso do legítimo NetSupport Manager - software de suporte remoto para TI - transformado em backdoor persistente por grupos criminosos como TA571 e FIN7, distribuído via malspam, fake browser updates e ataques ClickFix. ## Descrição O [[netsupport-rat|NetSupport RAT]] representa um caso clássico de abuso de ferramentas legítimas de administração remota (LOLBAS - Living Off The Land Binaries and Scripts): atores de ameaça repurposam o **NetSupport Manager**, um software comercial legítimo de suporte remoto desenvolvido pela NetSupport Ltd, transformando-o em um backdoor persistente para acesso não autorizado, vigilância e implantação de malware adicional. A vantagem estratégica para os atacantes é significativa: por ser um software legítimo com **certificado de assinatura de código válido**, o NetSupport Manager evade soluções de segurança que confiam em assinaturas digitais e listas de permissão de software. O binário principal `client32.exe` e seus componentes associados (`client32.ini`, `NSM.lic`) são depositados no sistema alvo, com o arquivo de configuração `client32.ini` modificado para apontar para o servidor C2 do atacante ao invés dos servidores legítimos da NetSupport. O NetSupport RAT estabelece **persistência via tarefas agendadas**, abre portas TCP (tipicamente porta 50275) para comunicação C2, e realiza descoberta do ambiente através de consultas WMI e APIs de sistema. As capacidades operacionais são extensas: captura de teclas, bloqueio de mouse e teclado, captura de áudio e vídeo, screenshots, transferência de arquivos, execução de comandos de sistema e manipulação de configurações. Em fases pós-comprometimento, o NetSupport RAT serve como foothold para deployment de cargas adicionais - infostealers, ransomware ou ferramentas de movimento lateral como [[impacket|Impacket]]. Os principais vetores de distribuição incluem **campanhas de malspam** (associadas ao grupo [[ta571|TA571]] e [[ta577|TA577]]), **atualizações falsas de navegador** que entregam scripts JavaScript maliciosos, e a técnica **ClickFix** - onde páginas CAPTCHA falsas enganam usuários para copiar e executar comandos PowerShell maliciosos através da caixa "Executar" do Windows. A instalação tipicamente ocorre em caminhos não-padrão como `AppData`, `ProgramData` ou `Downloads`. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1204-002-malicious-file\|T1204.002]] | Usuário executa arquivo malicioso (JS, PowerShell) | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para download e execução do RAT | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Tarefas agendadas para persistência | | Command and Control | [[t1071-application-layer-protocol\|T1071]] | C2 via TCP (porta 50275) | | Discovery | [[t1057-process-discovery\|T1057]] | Descoberta de processos em execução | | Discovery | [[t1082-system-information-discovery\|T1082]] | Consultas WMI para informações do sistema | | Command and Control | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas e payloads adicionais | | Collection | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas | ## Grupos que Usam - [[ta571|TA571]] - grupo de distribuição de malware por malspam, principal distribuidor do NetSupport RAT - [[ta577|TA577]] - grupo relacionado, também usa campanhas de malspam com NetSupport - [[fin7|FIN7]] - grupo de cybercrime financeiro, usa NetSupport RAT como ferramenta de acesso inicial ## Detecção - Detectar artefatos de arquivo característicos: `client32.exe`, `client32.ini`, presença de strings "NetSupport Manager" ou "NetSupport Remote Control" em processos não esperados, em caminhos fora do diretório de instalação padrão do software - Monitorar execução de scripts JavaScript (`wscript.exe`, `cscript.exe`) disparados por navegadores web, especialmente com nomes como `Update_browser_*.js` - indicativo de fake browser update campaigns - Detectar criação de tarefas agendadas por processos de usuário, especialmente em pastas `AppData` ou `ProgramData`, que são caminhos atípicos para software legítimo - Monitorar conexões de saída na porta TCP 50275 a partir de hosts não administrativos, que é a porta padrão utilizada pelo NetSupport para comunicação C2 ```sigma title: NetSupport RAT - Suspicious Installation Path status: stable logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - '\client32.exe' - '\client32.ini' TargetFilename|contains: - '\AppData\' - '\ProgramData\' - '\Downloads\' condition: selection level: high tags: - attack.persistence - attack.t1547.001 ``` ## Relevância LATAM/Brasil O NetSupport RAT é uma ameaça globalmente distribuída sem foco regional específico, mas é particularmente relevante para o Brasil e LATAM pela proliferação de campanhas de **ClickFix** e **fake browser updates** em português. O modelo de abuso de ferramenta legítima é difícil de bloquear em organizações que utilizam o NetSupport Manager legitimamente para suporte de TI - um caso comum em empresas de médio porte. No contexto brasileiro, onde [[ta571|TA571]] e grupos correlatos têm histórico de adaptar campanhas de malspam para idiomas locais, o NetSupport RAT representa um vetor de acesso inicial de baixo custo para campanhas de ransomware e espionagem industrial. Setores com grande volume de usuários leigos que podem ser enganados por prompts de "atualização de navegador" - como [[retail|varejo]], [[education|educação]] e [[financial|financeiro]] - são os mais vulneráveis. **Setores impactados:** [[financial|financeiro]] - [[retail|varejo]] - [[education|educação]] - [[technology|tecnologia]] ## Referências - [1](https://www.darktrace.com/blog/netsupport-rat-how-legitimate-tools-can-be-as-damaging-as-malware) Darktrace - NetSupport RAT: How Legitimate Tools Can Be as Damaging as Malware - [2](https://www.picussecurity.com/resource/blog/how-netsupport-rat-abuses-legitimate-remote-admin-tool) Picus Security - How NetSupport RAT Abuses Legitimate Remote Admin Tool - [3](https://redcanary.com/threat-detection-report/threats/netsupport-manager/) Red Canary - NetSupport Manager Threat Detection Report - [4](https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix) eSentire - Unpacking NetSupport RAT Loaders Delivered via ClickFix