Tecnologia em palavras simples

Malware Neptune RAT no Windows: Cuidado com Links do YouTube e Telegram

Imagem em Destaque: malware Neptune RAT afeta PCs com Windows.

O Neptune RAT está entre as ameaças de malware mais inteligentes que visam dispositivos Windows. Ele explora sites como YouTube e Telegram para contornar o Windows Defender e outras ferramentas antivírus. Seus efeitos incluem bloquear arquivos com ransomware, roubar senhas e apagar o Registro de Inicialização Principal (MBR) do Windows 11. Apesar de sua gravidade, proteger seu dispositivo Windows do Neptune RAT é surpreendentemente fácil.

O Que Torna o Neptune RAT Tão Perigoso

O malware Neptune RAT foi descoberto pela primeira vez pela empresa de segurança Cyfirma. O “RAT” nele significa Trojans de Acesso Remoto. É um arquivo que, quando aberto, permite que um invasor controle seu computador de longe. Normalmente, o Windows bloqueia essas tentativas. Para isso servem os programas antivírus, afinal.

No entanto, o Neptune RAT é extremamente furtivo, ocultando seu código prejudicial com palavras árabes e emojis, conseguindo passar pelo seu firewall, Windows Defender e outras ferramentas antivírus. Ele até sabe se você está usando uma máquina virtual (VM). Do lado do usuário, ele invoca dois comandos simples do PowerShell para infectar seu PC:

  • irm (Invoke-RestMethod): puxa conteúdo como software de sites, como GitHub.
  • iex (Invoke-Expression): executa o conteúdo baixado como um programa de script.

Baixando o software GitHub desktop usando o comando

Em algum momento, um script em lote aparece nas pastas do Windows. Depois disso, seu computador se conecta ao servidor do invasor.

Um malware tão perigoso e persistente não era visto no Windows há muito tempo. Ele usa muitos arquivos DLL para bagunçar seu sistema. Eles podem bloquear os dados do seu PC (ransomware), roubar senhas de mais de 270 programas, como os navegadores Chrome e Brave, capturar tudo o que você copia e cola, alterar suas configurações de registro e até apagar seu Registro de Inicialização Principal (MBR).

A pior parte? O Neptune RAT está atualmente se espalhando através das redes sociais: YouTube, GitHub, Telegram e outros links. A maioria das pessoas confia inerentemente no YouTube, e pela primeira vez essa confiança foi quebrada. É muito fácil agora para os hackers postarem um vídeo dizendo: “Clique no link abaixo da descrição do vídeo para receber $500 em dinheiro”, e então fornecer um executável do Neptune RAT que pode ser disfarçado em texto simples.

Soluções para o Malware Neptune RAT

Os perigos do Neptune RAT são muitos. Ele passa despercebido por todas as ferramentas de análise de malware e não requer sequer downloads de arquivos. Apesar da enorme vulnerabilidade, as soluções para os usuários do Windows são bastante simples.

Para Usuários do Windows que Conhecem PowerShell

O PowerShell emprega um recurso chamado “Modo de Linguagem Constrangido”, que restringe a aplicação a realizar apenas tarefas básicas. Uma vez instruído, ele não pode mais acessar recursos da web usando irm e iex, bloqueando assim o Neptune RAT.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

Para forçar a configuração de linguagem restrita para todos os usuários do seu PC, aplique o seguinte:

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

Alterando o PowerShell para uma configuração de Linguagem Constrangida para evitar comandos da web.

Para desfazer a configuração acima, basta voltar para o modo “Linguagem Completa”, e você poderá começar a baixar os cmdlets irm e iex novamente.

$ExecutionContext.SessionState.LanguageMode ="FullLanguage"

Enquanto o Windows não liberar uma solução adequada, é melhor mantê-los desativados.

Há outra opção. Se você não utiliza muito o PowerShell, pode desabilitar completamente o acesso do PowerShell à Internet. Depois disso, ao tentar executar os comandos irm/iex, será gerado um erro no PowerShell.

New-NetFirewallRule -Name"BlockPowerShellOutbound"-DisplayName"Block PowerShell Outbound"-Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe"-Action Block

Bloqueando todas as conexões de rede de saída no PowerShell. Os comandos

Para remover a regra de bloqueio no nível de rede, use o seguinte comando:

Remove-NetFirewallRule -Name"BlockPowerShellOutbound"

Embora não poder usar o PowerShell para atividades online seja um pequeno inconveniente, considerando a gravidade da ameaça Neptune RAT, vejo isso como a melhor solução.

Para Usuários Não Técnicos

Se você usa YouTube ou Telegram em um computador Windows, pode se manter seguro contra o Neptune RAT evitando clicar em links nas descrições dos vídeos – mesmo que os criadores de vídeo peçam para você fazê-lo. Eles podem oferecer descontos ou prometer resolver problemas de segurança. Eles aparecem muito em vídeos de jogos ou hacking ético, mas também podem estar em clips de filmes ou outros tópicos. Você deve parar de clicar em links desconhecidos, mesmo que amigos ou familiares os compartilhem nas redes sociais.

Outras recomendações que temos para usuários casuais do Windows lidando com o Neptune RAT:

  • Use um aplicativo autenticador: em um dispositivo Windows, um aplicativo autenticador é a melhor maneira de se proteger contra intrusos tentando acessar contas sensíveis.
  • Use soluções de segurança de endpoint: a única forma de malware sem arquivo como o Neptune RAT ser detectado é utilizando software de segurança de endpoint como o Microsoft Defender, que é diferente da Segurança do Windows. Eles fazem um trabalho muito melhor ao responder a atividades suspeitas no PowerShell.

Conteúdo

  1. O Que Torna o Neptune RAT Tão Perigoso
  2. Soluções para o Malware Neptune RAT
  3. Para Usuários do Windows que Conhecem PowerShell
  4. Para Usuários Não Técnicos
Painel do Ello

Ello: Explorando a Rede Social Privada

Bitdefender Não Instalando: 3 Soluções Fáceis que Você Pode Usar

Mais sobre as Soluções do Bitdefender

Google Descontinuando o Inbox e Dando a Ele Seis Meses de Vida

aspect-ratios-16x9

Entendendo as Proporções de Vídeo

Gerenciador de Arquivos com Etiquetas para Organizar seus Arquivos: Top 5

Corrigir wake on LAN não funcionando

Wake On LAN Não Funcionando no Windows [Resolvido]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS e Consoles no Mac

Google testa novo recurso do Chrome para elegibilidade de atualização para Windows 11