Sigurnosni stručnjaci otkrili su novu sofisticiranu kampanju kibernetičkih napada koja iskorištava kompromitovane WordPress web stranice za širenje NetSupport alata za daljinsko upravljanje (RAT), koristeći inovativni metod društvenog inženjeringa nazvan “ClickFix”.
Istraživački tim Cybereason Global Security Operations Center (GSOC) detektirao je ovu aktivnost u maju 2025. godine, razotkrivajući kako počinitelji zlonamjernih radnji oružaju legitimne alate za daljinski pristup kako bi neovlašteno preuzeli kontrolu nad računalima žrtava. Ovaj napad predstavlja značajnu evoluciju u taktikama cyberkriminalaca, kombinirajući kompromitiranje web stranica sa psihološkom manipulacijom radi zaobilaženja suvremenih sigurnosnih mjera.
Lanac napada razvija se kroz više faza. Početak kampanje obuhvaća phishing e-poruke, PDF privitke ili zlonamjerne poveznice objavljene na web stranicama za igre, koje potom preusmjeravaju korisnike na kompromitirane WordPress stranice. Kada posjetitelji dospiju na ove zaražene stranice, zlonamjerni JavaScript kod, skriven u meta opisu web stranice, automatski se učitava i pokreće udaljenu skriptu pod nazivom “j.js” s domene islonline.org. Stručnjaci za kibernetičku sigurnost, upoznati s provedenom istragom, ističu da napadači ciljaju korisnike Windows operativnog sustava i ugradili su mehanizme za izbjegavanje otkrivanja. Zlonamjerna skripta prvo utvrđuje korisnikov operativni sustav i detalje preglednika, a zatim provjerava je li korisnik prethodno posjetio stranicu, koristeći praćenje lokalne pohrane kako bi minimizirala vlastitu izloženost.
Najinovativniji aspekt napada je ono što istraživači nazivaju “ClickFix” tehnikom. Nakon početne infekcije, žrtvama se prikazuje lažna stranica za provjeru CAPTCHA-e koja izgleda potpuno legitimno, koristeći moderne stilove s React frameworkom i TailwindCSS-om. Međutim, umjesto provjere ljudske interakcije, stranica tajno kopira zlonamjernu PowerShell naredbu u međuspremnik korisnika.
Ova obmana s otmicom međuspremnika nastavlja se tako što lažna CAPTCHA stranica upućuje korisnike da pritisnu kombinaciju tipki Windows + R te da zalijepe “kod za provjeru” u dijaloški okvir “Pokreni”. Vjerujući da izvršavaju standardnu sigurnosnu provjeru, žrtve nehotice pokreću naredbu koja preuzima i instalira NetSupport Client softver. Istraživači sigurnosti objašnjavaju da je ova tehnika posebno opaka jer iskorištava poznatost korisnika s CAPTCHA izazovima, a istovremeno zaobilazi sigurnosne kontrole preglednika. Budući da sam korisnik izvršava konačni korak, to pomaže u izbjegavanju automatiziranih sustava za detekciju. Nakon instalacije, NetSupport Client uspostavlja trajanu vezu sa serverima za zapovijedanje i upravljanje koji se nalaze u Moldaviji. Zlonamjerni softver stvara unose u registru za postojanost i može preživjeti ponovna pokretanja sustava, omogućujući napadačima da održe dugoročni pristup kompromitiranim sustavima.
Nakon uspješne kompromitacije, unutar nekoliko sati, zapažene su aktivnosti izviđanja od strane počinitelja napada, uključujući upite u Active Directory za mrežna računala i prijenos datoteka u javne direktorije. Napadači koriste legitimnu značajku daljinskog upravljanja NetSupport-om za izvršavanje naredbi poput “net group /domain ‘Domain Computers'” radi mapiranja mrežne infrastrukture. Prema podacima prikupljenim o prijetnjama, NetSupport Manager je 2024. godine rangiran kao sedma najčešća prijetnja, a cyberkriminalci sve više preferiraju legitimne alate kako bi prikrili zlonamjerne aktivnosti unutar uobičajenih IT operacija. Sigurnosni stručnjaci preporučuju hitnu izolaciju zahvaćenih sustava, promjenu zaporki za kompromitirane račune te blokiranje identificiranih zlonamjernih domena i IP adresa. Organizacije bi također trebale implementirati nadzor nad neuobičajenim aktivnostima PowerShell-a i manipulacijom međuspremnika u kontekstu preglednika. Istraživači sigurnosti naglašavaju ključnu važnost prepoznavanja svake upute koja od korisnika zahtijeva lijepljenje naredbi u dijaloški okvir “Pokreni” u sustavu Windows kao visoko sumnjive. Administratorima web stranica savjetuje se redovito provjeravanje WordPress tema i dodataka na prisutnost neovlaštenih ubacivanja skripti. Ova kampanja ističe rastući sigurnosni pejzaž u kojem napadači sve više ovise o društvenom inženjeringu umjesto o tehničkim iskorištavanjima kako bi postigli svoje ciljeve.
