عوامل تهدید از ژانویه 2025، به منظور ارائه تروجان دسترسی از راه دور NetSupport RAT، اقدام به استفاده از تکنیک ClickFix کردهاند.
NetSupport RAT که معمولاً از طریق وبسایتهای جعلی و بهروزرسانیهای جعلی مرورگر منتشر میشود، امکان کنترل کامل بر میزبان قربانی، نظارت بلافاصله بر صفحه دستگاه، کنترل صفحه کلید و ماوس، آپلود / دانلودفایلها و اجرای دستورات مخرب را برای نفوذگران فراهم میکند. این برنامه که در ابتدا با نام NetSupport Manager شناخته میشد، به عنوان برنامه قانونی پشتیبانی IT از راه دور توسعه داده شد، اما توسط نفوذگران برای هدف قرار دادن سازمانها و گرفتن اطلاعات حساس از جمله اسکرینشات، صدا، ویدیو و فایلها تغییر کاربری داده شد.
eSentire در تحلیلی گفت: «ClickFix تکنیکی است که توسط عوامل تهدید برای تزریق صفحه وب CAPTCHA جعلی در وبسایتهای در معرض خطر استفاده میشود و به کاربران دستور میدهد تا مراحل خاصی را برای کپی و اجرای دستورات مخرب پاورشل روی میزبان خود به منظور دانلود و اجرای پلودهای بدافزار دنبال کنند». در زنجیرههای حمله شناسایی شده از دستور پاورشل جهت دانلود و اجرای کلاینت NetSupport RAT از یک سرور راه دور استفاده میشود که اجزای مخرب را در قالب فایلهای تصویری PNG میزبانی میکند.
https://thehackernews.com/2025/02/threat-actors-exploit-clickfix-to.html
