В начале 2025 года специалисты по кибербезопасности обнаружили новую волну атак, в которых злоумышленники активно эксплуатируют технику ClickFix для распространения вредоносного ПО NetSupport RAT. Эта программа, изначально разработанная как легитимный инструмент для удаленной IT-поддержки под названием NetSupport Manager, теперь используется хакерами в преступных целях.
Механизм атаки построен на использовании поддельных веб-сайтов и фальшивых обновлений браузера. Когда пользователь попадает на такой сайт, злоумышленники применяют PowerShell-команды для загрузки и запуска вредоносного клиента NetSupport RAT.
Особую опасность представляет широкий спектр возможностей данного вредоносного ПО. После успешного заражения системы хакеры получают полный контроль над устройством жертвы. Они могут в реальном времени следить за экраном, управлять клавиатурой и мышью, загружать и скачивать файлы, а также запускать любые команды на зараженном компьютере.
Злоумышленники проявляют изобретательность в сокрытии вредоносного кода. Все компоненты NetSupport RAT хранятся на удаленном сервере в виде PNG-изображений, что затрудняет их обнаружение стандартными средствами защиты.
Компания eSentire, исследовавшая данные атаки, отмечает, что хакеры постоянно совершенствуют свои методы. Параллельно с NetSupport RAT они также распространяют обновленную версию другого вредоносного ПО – Lumma Stealer, использующего шифр ChaCha20 для расшифровки конфигурационных файлов со списком управляющих серверов.
Эксперты подчеркивают, что главной целью злоумышленников является кража конфиденциальной информации. NetSupport RAT позволяет захватывать скриншоты, записывать аудио и видео, а также получать доступ к любым файлам на зараженном устройстве.
Специалисты по безопасности отмечают растущую популярность техники ClickFix среди киберпреступников, что делает ее одной из значимых угроз в текущем году. Постоянное совершенствование методов маскировки вредоносного ПО требует от пользователей повышенной бдительности при работе в интернете.
Изображение носит иллюстративный характер
Механизм атаки построен на использовании поддельных веб-сайтов и фальшивых обновлений браузера. Когда пользователь попадает на такой сайт, злоумышленники применяют PowerShell-команды для загрузки и запуска вредоносного клиента NetSupport RAT.
Особую опасность представляет широкий спектр возможностей данного вредоносного ПО. После успешного заражения системы хакеры получают полный контроль над устройством жертвы. Они могут в реальном времени следить за экраном, управлять клавиатурой и мышью, загружать и скачивать файлы, а также запускать любые команды на зараженном компьютере.
Злоумышленники проявляют изобретательность в сокрытии вредоносного кода. Все компоненты NetSupport RAT хранятся на удаленном сервере в виде PNG-изображений, что затрудняет их обнаружение стандартными средствами защиты.
Компания eSentire, исследовавшая данные атаки, отмечает, что хакеры постоянно совершенствуют свои методы. Параллельно с NetSupport RAT они также распространяют обновленную версию другого вредоносного ПО – Lumma Stealer, использующего шифр ChaCha20 для расшифровки конфигурационных файлов со списком управляющих серверов.
Эксперты подчеркивают, что главной целью злоумышленников является кража конфиденциальной информации. NetSupport RAT позволяет захватывать скриншоты, записывать аудио и видео, а также получать доступ к любым файлам на зараженном устройстве.
Специалисты по безопасности отмечают растущую популярность техники ClickFix среди киберпреступников, что делает ее одной из значимых угроз в текущем году. Постоянное совершенствование методов маскировки вредоносного ПО требует от пользователей повышенной бдительности при работе в интернете.
