Agentes de ameaças têm utilizado cada vez mais a técnica de ClickFix para distribuir um trojan de acesso remoto denominado NetSupport RAT desde o início de janeiro de 2025.
O NetSupport RAT, geralmente disseminado por meio de websites falsos e atualizações falsas de navegadores, concede aos atacantes controle total sobre o host da vítima, permitindo que eles monitorem a tela do dispositivo em tempo real, controlem o teclado e o mouse, façam upload e download de arquivos, além de lançar e executar comandos maliciosos.
Originalmente conhecido como NetSupport Manager, foi desenvolvido como um programa legítimo de suporte de TI remoto, mas desde então foi reutilizado por agentes maliciosos para mirar em organizações e capturar informações sensíveis, incluindo capturas de tela, áudio, vídeo e arquivos.
"O ClickFix é uma técnica usada por agentes de ameaças para injetar uma página de CAPTCHA falsa em websites comprometidos, instruindo os usuários a seguir certos passos para copiar e executar comandos maliciosos do PowerShell em seu host para baixar e executar payloads de malware", disse a eSentire em uma análise.
Nas cadeias de ataque identificadas pela empresa de cibersegurança, o comando do PowerShell é usado para baixar e executar o cliente NetSupport RAT de um servidor remoto que hospeda os componentes maliciosos em forma de arquivos de imagem PNG.
Esse desenvolvimento ocorre enquanto a abordagem ClickFix também está sendo usada para propagar uma versão atualizada do malware Lumma Stealer, que usa a cifra ChaCha20 para descriptografar um arquivo de configuração contendo a lista de servidores de comando-e-controle (C2).
"Essas mudanças oferecem uma visão sobre as táticas evasivas empregadas pelo(s) desenvolvedor(es), que estão trabalhando ativamente para contornar as atuais ferramentas de extração e análise", disse a eSentire.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...