Bezbjednosni stručnjaci otkrili su novu sofisticiranu kampanju sajber napada koja koristi kompromitovane WordPress veb stranice za širenje NetSupport alata za daljinsko upravljanje (RAT), primjenjujući inovativni metod društvenog inženjeringa nazvan “ClickFix”.
Istraživački tim Cybereason Global Security Operations Center (GSOC) detektovao je ovu aktivnost u maju 2025. godine, otkrivajući kako akteri prijetnje oružavaju legitimne alate za daljinski pristup kako bi neovlašćeno preuzeli kontrolu nad računarima žrtava. Ovaj napad predstavlja značajnu evoluciju u taktikama sajber kriminalaca, kombinujući kompromitovanje veb stranica sa psihološkom manipulacijom radi zaobilaženja savremenih bezbjednosnih mjera.
Lanac napada razvija se kroz više faza. Početak kampanje obuhvata fišing e-poruke, PDF priloge ili maliciozne poveznice objavljene na sajtovima za igre, koje potom preusmjeravaju korisnike na kompromitovane WordPress stranice. Kada posjetioci dospiju na ove zaražene stranice, maliciozni JavaScript kod, skriven u meta opisu veb stranice, automatski se učitava i pokreće udaljenu skriptu pod nazivom “j.js” sa domena islonline.org. Stručnjaci za sajber bezbjednost, upoznati s provedenom istragom, ističu da napadači ciljaju korisnike Windows operativnog sistema i ugradili su mehanizme za izbjegavanje otkrivanja. Maliciozna skripta prvo utvrđuje korisnikov operativni sistem i detalje pregledača, a zatim provjerava da li je korisnik prethodno posjetio stranicu, koristeći praćenje lokalne memorije kako bi minimizirala sopstvenu izloženost.
Najinovativniji aspekt napada je ono što istraživači nazivaju “ClickFix” tehnikom. Nakon početne infekcije, žrtvama se prikazuje lažna stranica za provjeru CAPTCHA-e koja izgleda potpuno legitimno, koristeći moderne stilove sa React frameworkom i TailwindCSS-om. Međutim, umjesto provjere ljudske interakcije, stranica tajno kopira malicioznu PowerShell naredbu u međuspremnik korisnika.
Ova obmana sa otmicom međuspremnika nastavlja se tako što lažna CAPTCHA stranica upućuje korisnike da pritisnu kombinaciju tastera Windows + R te da nalijepe “kod za provjeru” u dijaloški okvir “Pokreni”. Vjerujući da izvršavaju standardnu bezbjednosnu provjeru, žrtve nesvjesno pokreću naredbu koja preuzima i instalira NetSupport Client softver. Istraživači bezbjednosti objašnjavaju da je ova tehnika posebno opaka jer koristi poznatost korisnika sa CAPTCHA izazovima, a istovremeno zaobilazi bezbjednosne kontrole pregledača. Budući da sam korisnik izvršava konačni korak, to pomaže u izbjegavanju automatizovanih sistema za detekciju. Nakon instalacije, NetSupport Client uspostavlja trajnu vezu sa serverima za komandu i kontrolu koji se nalaze u Moldaviji. Maliciozni softver stvara unose u registru za postojanost i može preživjeti ponovno pokretanje sistema, omogućavajući napadačima da održe dugoročan pristup kompromitovanim sistemima.
Nakon uspješne kompromitacije, u roku od nekoliko sati, zapažene su aktivnosti izviđanja od strane aktera prijetnje, uključujući upite u Active Directory za mrežne računare i prenos fajlova u javne direktorijume. Napadači koriste legitimnu funkcionalnost daljinskog upravljanja NetSupport-om za izvršavanje naredbi poput “net group /domain ‘Domain Computers'” radi mapiranja mrežne infrastrukture. Prema podacima prikupljenim o prijetnjama, NetSupport Manager je 2024. godine rangiran kao sedma najčešća prijetnja, a sajber kriminalci sve više preferiraju legitimne alate kako bi prikrili maliciozne aktivnosti unutar uobičajenih IT operacija. Bezbjednosni stručnjaci preporučuju hitnu izolaciju pogođenih sistema, promjenu lozinki za kompromitovane naloge te blokiranje identifikovanih malicioznih domena i IP adresa. Organizacije bi takođe trebalo da implementiraju nadzor nad neuobičajenim aktivnostima PowerShell-a i manipulacijom međuspremnika u okviru pregledača. Istraživači bezbjednosti naglašavaju ključnu važnost prepoznavanja svake upute koja od korisnika zahtijeva lijepljenje naredbi u dijaloški okvir “Pokreni” u Windows sistemu kao visoko sumnjive. Administratorima veb stranica savjetuje se redovno provjeravanje WordPress tema i dodataka na prisustvo neovlašćenih ubačenih skripti. Ova kampanja ističe sve izraženiji bezbjednosni pejzaž u kojem napadači sve više zavise od društvenog inženjeringa umjesto tehničkih eksploatacija kako bi ostvarili svoje ciljeve.
