黑客利用ClickFix技术部署NetSupport RAT加载器

网络犯罪分子越来越多地使用一种名为“ClickFix”的技术来部署NetSupport远程管理工具（RAT）以达到恶意目的。根据eSentire威胁响应单元（TRU）的一份新报告，威胁行为者在整个2025年已将他们的主要交付策略从虚假软件更新转变为ClickFix初始访问向量。这种方法滥用合法的远程支持服务，诱骗用户授予攻击者对其系统的控制权。

该攻击利用了社会工程学，受害者被引诱到一个ClickFix页面，并被指示将恶意命令粘贴到其Windows运行提示符中。执行该命令会触发一个多阶段感染过程，从加载器脚本开始，该脚本会下载并安装NetSupport RAT，从而让攻击者完全远程控制受感染的机器。

ClickFix初始访问页面示例

不断演变的加载器策略

TRU研究人员已经识别出这些攻击活动中使用的几种不同类型的加载器。最流行的是基于PowerShell的加载器，它会获取一个包含以Base64编码的NetSupport有效载荷的JSON文件。然后，脚本会解码这些有效载荷，将它们写入一个隐藏目录，并通过在Windows启动文件夹中创建快捷方式来建立持久性。这确保了RAT在每次系统重启时自动运行。

通过CyberChef重现反混淆过程（第一部分）

PowerShell加载器的一个较新变种试图通过删除RunMRU注册表键中的注册表值来掩盖其踪迹，从而有效地抹去初始命令执行的证据。另一种不太常见但仍值得注意的方法涉及使用合法的Windows Installer服务（msiexec.exe）来下载并运行最终部署RAT的恶意MSI包。这些不断演变的策略表明，攻击者正在积极改进其方法以逃避检测和分析。

追踪威胁行为者

对攻击活动的分析使研究人员能够根据其工具和基础设施将活动分为三个不同的威胁组织。第一个被命名为“EVALUSION”活动，非常活跃，使用多种多样的加载器和遍布多个国家的基础设施。“FSHGDREE32/SGI”集群主要使用东欧的防弹托管服务。第三个独立的行为者被追踪为“XMLCTL”或UAC-0050，使用不同的技术，包括基于MSI的加载器和位于美国的商业托管服务，这表明其具有不同的操作模式。

为了应对这些威胁，专家建议组织通过组策略禁用运行提示符，阻止未经批准的远程管理工具，并对员工实施强有力的安全意识培训。