Gli attori delle minacce stanno sfruttando sempre più la tecnica ClickFix per distribuire un trojan di accesso remoto noto come NetSupport RAT a partire da gennaio 2025. NetSupport RAT, generalmente diffuso tramite siti web falsi e aggiornamenti del browser fasulli, concede ai malintenzionati il pieno controllo sul dispositivo della vittima. Questo permette loro di monitorare lo schermo in tempo reale, controllare la tastiera e il mouse, caricare e scaricare file, nonché eseguire comandi dannosi. Originariamente sviluppato come programma legittimo per il supporto IT remoto, NetSupport Manager è stato successivamente riproposto da attori malevoli per prendere di mira le organizzazioni e catturare informazioni sensibili, tra cui screenshot, audio, video e file.

Tecnica ClickFix

La tecnica ClickFix viene utilizzata per iniettare una pagina web CAPTCHA falsa su siti web compromessi, inducendo gli utenti a seguire determinati passaggi per copiare ed eseguire comandi PowerShell dannosi sui loro dispositivi. Questo porta al download e all'esecuzione di payload di malware. La società di sicurezza eSentire ha rilevato che in queste catene di attacco, il comando PowerShell viene utilizzato per scaricare ed eseguire il client NetSupport RAT da un server remoto che ospita i componenti dannosi sotto forma di file immagine PNG.

Sviluppo delle Tecniche

Lo sviluppo di queste tecniche arriva mentre l'approccio ClickFix viene utilizzato anche per propagare una versione aggiornata del malware Lumma Stealer. Questa versione utilizza il cifrario ChaCha20 per decrittografare un file di configurazione contenente l'elenco dei server di comando e controllo (C2). Questi cambiamenti offrono un'idea delle tattiche elusive impiegate dagli sviluppatori, che lavorano attivamente per aggirare gli strumenti di estrazione e analisi attuali.

Evoluzione delle Minacce

Queste evoluzioni nelle tecniche di attacco dimostrano come gli attori delle minacce continuino a innovare e adattare le loro strategie per superare le difese esistenti. La crescente sofisticazione di questi attacchi sottolinea l'importanza di mantenere aggiornati i sistemi di sicurezza e di educare gli utenti sui rischi associati a tali minacce. Le organizzazioni devono rimanere vigili e adottare misure proattive per proteggere le proprie risorse digitali dalle incursioni dei cybercriminali, che sfruttano vulnerabilità e tecniche ingannevoli per raggiungere i loro obiettivi malevoli.