网络安全公司eSentire报告指出，攻击者正利用ClickFix技术传播NetSupport RAT远程访问木马。该木马通过虚假网站和伪装的浏览器更新进行传播，允许攻击者完全控制受害者设备，包括监控屏幕、操作键盘鼠标、上传下载文件及执行恶意命令。NetSupport RAT原为合法的远程IT支持程序，现被恶意利用窃取敏感信息。ClickFix通过注入虚假验证码页面，诱导用户执行恶意PowerShell命令，从而下载并运行NetSupport RAT客户端。此外，该技术还被用于传播Lumma Stealer恶意软件的更新版本，采用规避策略绕过安全检测。

🔑ClickFix技术被用于传播NetSupport RAT木马，攻击者通过入侵网站注入虚假验证码页面，诱使用户复制并执行恶意PowerShell命令，从而下载并运行木马程序。

🖥️NetSupport RAT木马具备强大的远程控制能力，攻击者可以借此完全控制受害者设备，实时监控屏幕、操作键盘和鼠标、上传下载文件以及执行恶意命令，对用户构成严重威胁。

🛡️攻击者利用ClickFix技术传播Lumma Stealer恶意软件的更新版本，该软件使用ChaCha20密码算法解密配置文件，显示出开发者为绕过安全检测而采取的规避策略。

HackerNews 编译，转载请注明出处：

2025年2月11日，网络安全公司eSentire发布报告称，网络攻击者正在利用一种名为“ClickFix”的技术，部署名为NetSupport RAT的远程访问木马。

自2025年1月初以来，“ClickFix”技术被频繁用于传播NetSupport RAT。该木马通常通过虚假网站和伪装的浏览器更新传播，攻击者可借此完全控制受害者设备，实时监控屏幕、操作键盘和鼠标、上传下载文件以及执行恶意命令。

NetSupport RAT最初是一款合法的远程IT支持程序，但已被恶意攻击者重新利用，针对组织机构窃取敏感信息，包括屏幕截图、音频、视频和文件。

“ClickFix”技术通过在被入侵的网站上注入虚假验证码页面，诱使用户按照指示复制并执行恶意的PowerShell命令，从而下载并运行恶意软件。在攻击过程中，PowerShell命令用于从远程服务器下载并执行NetSupport RAT客户端，恶意组件以PNG图像文件的形式存储。

此外，ClickFix技术还被用于传播Lumma Stealer恶意软件的更新版本，该软件使用ChaCha20密码算法解密包含命令与控制（C2）服务器列表的配置文件。eSentire表示，这些变化揭示了开发者为绕过当前的提取和分析工具而采用的规避策略。

 

---

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文