Tehdit aktörleri, Ocak 2025’in başından beri Netsupport Rat adlı bir uzaktan erişim Truva atı sunmak için giderek daha yaygın bir ClickFix tekniğini gözlemlediler.
Netsupport faresi, tipik olarak sahte web siteleri ve sahte tarayıcı güncellemeleri yoluyla yayılan, saldırganlara kurbanın ana bilgisayarına tam kontrol verir, cihazın ekranını gerçek zamanlı olarak izlemelerine, klavyeyi ve fareyi kontrol etmelerini, dosyaları yüklemesine ve indirip yürütmelerini sağlar ve yürütür ve yürütür ve yürütür ve yürütür ve yürütür komutlar.
Başlangıçta NetSupport Manager olarak bilinen, meşru bir uzaktan kumanda BT destek programı olarak geliştirilmiştir, ancak o zamandan beri kötü niyetli aktörler tarafından kuruluşları hedeflemek ve ekran görüntüleri, ses, video ve dosyalar da dahil olmak üzere hassas bilgileri yakalamak için yeniden tasarlanmıştır.
Esantiire bir analizde, “ClickFix, tehlikeye atılan web sitelerinde sahte bir Captcha web sayfası enjekte etmek için tehdit aktörleri tarafından kullanılan bir tekniktir ve kullanıcılara kötü amaçlı yazılım yüklerini indirmek ve çalıştırmak için ana bilgisayarlarında kötü amaçlı PowerShell komutlarını kopyalamak ve yürütmek için belirli adımları izlemelerini söyler.”
Siber güvenlik şirketi tarafından tanımlanan saldırı zincirlerinde, PowerShell komutu, Netsupport Rat istemcisini PNG görüntü dosyaları şeklinde barındıran uzak bir sunucudan indirmek ve yürütmek için kullanılır.
Geliştirme, ClickFix yaklaşımı, komut ve kontrol (C2) sunucuları listesini içeren bir yapılandırma dosyasını şifrelemek için Chacha20 şifresini kullanan Lumma Stealer kötü amaçlı yazılımının güncellenmiş bir sürümünü yaymak için de kullanılır.
Esentir, “Bu değişiklikler, mevcut ekstraksiyon ve analiz araçlarını atlatmak için aktif olarak çalışan geliştirici (ler) tarafından kullanılan kaçak taktikler hakkında bilgi veriyor.” Dedi.