Los actores de amenaza han observado la técnica de ClickFix cada vez más común para entregar un troyano de acceso remoto llamado NetSupport Rat desde principios de enero de 2025.
NetSupport Rat, típicamente propagada a través de sitios web falsos y actualizaciones falsas del navegador, otorga a los atacantes control total sobre el host de la víctima, lo que les permite monitorear la pantalla del dispositivo en tiempo real, controlar el teclado y el mouse, la carga y descarga de archivos, y lanzar y ejecutar maliciosos comandos.
Originalmente conocido como NetSupport Manager, fue desarrollado como un programa legítimo de soporte de TI remoto, pero desde entonces ha sido reutilizado por actores maliciosos para atacar a las organizaciones y capturar información confidencial, incluidas capturas de pantalla, audio, video y archivos.
“ClickFix es una técnica utilizada por los actores de amenaza para inyectar una página web de captcha falsa en sitios web comprometidos, instruyendo a los usuarios a seguir ciertos pasos para copiar y ejecutar comandos de PowerShell malicioso en su host para descargar y ejecutar cargas útiles de malware”, “Esentire dicho en un análisis.
En las cadenas de ataque identificadas por la compañía de seguridad cibernética, el comando PowerShell se usa para descargar y ejecutar el cliente de rata NetSupport desde un servidor remoto que aloja los componentes maliciosos en forma de archivos de imagen PNG.
El desarrollo se produce cuando el enfoque ClickFix también se está utilizando para propagar una versión actualizada del malware Lumma Stealer que utiliza el cifrado Chacha20 para descifrar un archivo de configuración que contiene la lista de servidores de comando y control (C2).
“Estos cambios proporcionan información sobre las tácticas evasivas empleadas por los desarrolladores que están trabajando activamente para eludir las herramientas actuales de extracción y análisis”, esentire dicho.
About the Author
