Aktor ancaman telah mengamati teknik clickFix yang semakin umum untuk memberikan akses jarak jauh Trojan bernama Netsupport Rat sejak awal Januari 2025.
Netsupport Rat, biasanya diperbanyak melalui situs web palsu dan pembaruan browser palsu, memberikan kontrol penuh kepada penyerang atas host korban, memungkinkan mereka untuk memantau layar perangkat secara real-time, mengontrol keyboard dan mouse, mengunggah dan mengunduh file, dan meluncurkan dan menjalankan jahat perintah.
Awalnya dikenal sebagai Netsupport Manager, ini dikembangkan sebagai program pendukung TI jarak jauh yang sah, tetapi sejak itu telah digunakan kembali oleh aktor jahat untuk menargetkan organisasi dan menangkap informasi sensitif, termasuk tangkapan layar, audio, video, dan file.
“ClickFix adalah teknik yang digunakan oleh aktor ancaman untuk menyuntikkan halaman web captcha palsu di situs web yang dikompromikan, menginstruksikan pengguna untuk mengikuti langkah -langkah tertentu untuk menyalin dan menjalankan perintah PowerShell berbahaya pada host mereka untuk mengunduh dan menjalankan muatan malware,” kata Esentire dalam sebuah analisis.
Dalam rantai serangan yang diidentifikasi oleh perusahaan cybersecurity, perintah PowerShell digunakan untuk mengunduh dan menjalankan klien tikus Netsupport dari server jarak jauh yang meng -host komponen jahat dalam bentuk file gambar PNG.
Pengembangan datang karena pendekatan clickFix juga digunakan untuk menyebarkan versi terbaru dari malware pencuri lumma yang menggunakan cipher chacha20 untuk mendekripsi file konfigurasi yang berisi daftar server perintah-dan-kontrol (C2).
“Perubahan ini memberikan wawasan tentang taktik mengelak yang digunakan oleh pengembang yang secara aktif bekerja untuk menghindari alat ekstraksi dan analisis saat ini,” kata Esentire.
