黑客利用ClickFix技术部署NetSupport RAT加载器

网络犯罪分子正越来越多地使用一种名为“ClickFix”的技术，以恶意目的部署NetSupport远程管理工具。 根据eSentire威胁响应部门的一份新报告，威胁行为者在整个2025年已将其主要的分发策略从虚假软件更新转向了ClickFix初始访问向量。 这种方法滥用了合法的远程支持服务，诱骗用户授予攻击者对其系统的控制权。

攻击利用了社会工程学，将受害者引诱至ClickFix页面，并指示他们将恶意命令粘贴到Windows运行提示符中。 执行该命令会触发一个多阶段的感染过程，首先是一个加载器脚本，该脚本下载并安装NetSupport RAT，使攻击者能够完全远程控制被入侵的机器。

ClickFix初始访问页面示例

不断演变的加载器战术

TRU研究人员已经识别出在这些活动中使用的几种不同的加载器类型。最普遍的是基于PowerShell的加载器，它会获取一个包含以Base64编码的NetSupport有效载荷的JSON文件。 然后，该脚本会解码这些有效载荷，将其写入一个隐藏目录，并通过在Windows启动文件夹中创建快捷方式来建立持久性。这确保了RAT在每次系统重启时自动运行。

通过CyberChef进行反混淆重现（第一部分）

一个较新的PowerShell加载器变种试图通过删除RunMRU注册表项中的值来掩盖其踪迹，从而有效抹除初始命令执行的证据。 一种不那么常见但仍值得注意的方法涉及使用合法的Windows安装程序服务来下载并运行最终部署RAT的恶意MSI包。这些不断演变的战术表明，攻击者正在积极完善其方法，以规避检测和分析。

追踪威胁行为者

对活动的分析使研究人员能够根据其工具和基础设施将活动聚类为三个不同的威胁组织。 第一个被称为“EVALUSION”活动，非常活跃，使用多种多样的加载器和分布在多个国家的基础设施。“FSHGDREE32/SGI”集群主要使用东欧的防弹主机。 第三个独立的、被追踪为“XMLCTL”或UAC-0050的行为者使用不同的技术，包括基于MSI的加载器和位于美国的商业主机，这表明其采用了不同的操作手册。 为了应对这些威胁，专家建议组织通过组策略禁用运行提示符，阻止未经批准的远程管理工具，并为员工实施强有力的安全意识培训。