黑客利用ClickFix技术部署NetSupport RAT加载器

网络犯罪分子正越来越多地使用一种名为“ClickFix”的技术，将NetSupport远程管理工具（RAT）用于恶意目的。

根据eSentire威胁响应部门（TRU）的一份新报告，威胁行为者在整个2025年已将其主要投放策略从虚假软件更新转向ClickFix初始访问向量。此方法滥用合法的远程支持服务，诱骗用户授予攻击者对其系统的控制权。

该攻击利用了社会工程学手段，将受害者引诱至一个ClickFix页面，并指示他们将恶意命令粘贴到Windows运行提示符（Run Prompt）中。执行该命令会触发一个多阶段感染过程：首先是一个加载器脚本，该脚本会下载并安装NetSupport RAT，从而使攻击者能够完全远程控制被入侵的机器。

不断演变的加载器策略

TRU研究人员已识别出在这些攻击活动中使用的几种不同类型的加载器。最常见的一种是基于PowerShell的加载器，它会获取一个包含Base64编码NetSupport载荷的JSON文件。然后，该脚本会解码这些载荷，将其写入一个隐藏目录，并通过在Windows启动文件夹中创建快捷方式来建立持久性。这确保了RAT在每次系统重启时都能自动运行。

一种更新版本的PowerShell加载器变种试图通过删除RunMRU注册表键中的值来掩盖痕迹，从而有效清除初始命令执行的证据。另一种不太常见但仍值得注意的方法是，利用合法的Windows安装程序服务（msiexec.exe）来下载并运行最终部署RAT的恶意MSI软件包。这些不断演变的策略表明，攻击者正在积极改进其方法以规避检测和分析。

追踪威胁行为者

通过对攻击活动的分析，研究人员根据其使用的工具和基础设施，将相关活动聚类为三个不同的威胁组织。

第一个被命名为“EVALUSION”的攻击活动非常活跃，使用了多种加载器和分布在多个国家的基础设施。第二个集群“FSHGDREE32/SGI”主要使用东欧的防弹托管服务。第三个被单独追踪为“XMLCTL”或UAC-0050的行为者使用了不同的技术，包括基于MSI的加载器和位于美国的商业托管服务，这表明其操作手法不同。

为了应对这些威胁，专家建议组织通过组策略禁用运行提示符（Run prompt），阻止未经批准的远程管理工具，并对员工实施强有力的安全意识培训。