Киберпреступники переходят на новую схему доставки NetSupport RAT через уловку ClickFix

По данным аналитиков, злоумышленники перешли от стратегии Fake Updates (фейковые обновления) к методу ClickFix в период с 2024 по 2025 год. Эта техника соответствует общей тенденции киберпреступников использовать законные инструменты для вредоносных целей. Атака начинается с социальной инженерии, когда жертву убеждают выполнить malicious (вредоносные) команды в окне выполнения Windows (Run Prompt), что запускает процесс извлечения и выполнения NetSupport на целевой системе.

Основным инструментом доставки стал PowerShell/JSON-загрузчик, который демонстрирует удивительную стабильность на протяжении всего 2025 года. Его рабочая схема включает декодирование base64-кодированного блоба и его парсинг в формате JSON, где каждый полезный модуль хранится в виде base64-кодированного блоба. Затем создается скрытая системная директория, куда записываются декодированные модули. Загрузчик устанавливает автостарт через ярлык в папке %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, проверяет корректность записи всех конфигурационных файлов и зависимостей NetSupport и наконец запускает клиент под именем "client32.exe".

В более современных инцидентах был обнаружен усовершенствованный вариант загрузчика, который применяет технику удаления доказательств выполнения через Run Prompt, очищая значения в ключе реестра RunMRU. Этот вариант, связанный с лицензиатом KAKAN, демонстрирует общие атрибуты и TTPs (тактики, техники и процедуры) с кампаниями EVALUSION.

Хотя и менее распространенный, MSI-загрузчик представляет особый интерес для исследователей. Злоумышленники используют msiexec LOLBin для удаленного получения и запуска MSI-пакетов установки NetSupport. Особенностью этого метода является многоступенчатая обфускация, где base64-кодированная PowerShell команда после декодирования раскрывает массив байтов, преобразуемый в массив символов. Каждый исходный байт хранится в десятичном виде с прибавлением 97, а следующий этап выполняет обратную операцию вычитания. Для деобфускации этого загрузчика специалисты eSentire разработали специальный рецепт для CyberChef, который позволяет последовательно раскрывать каждый слой защиты.

Анализ сетевого трафика выявил активность командных серверов NetSupport Connectivity Servers (Gateways) с использованием версии 1.92. В процессе взаимодействия клиент сначала отправляет команду POLL, что характерно для стандартного поведения этого легитимного инструмента.

На основе анализа общих атрибутов, инфраструктуры и TTPs исследователи идентифицировали три четких кластера угроз. Кластер EVALUSION использует идентичный RADIUSSecret и общие параметры лицензий, включая лицензии "DCVTTTUUEEW23", "GFHJJYU43", "GJHYUT534" и "KAKAN". Группа применяет смешанные версии NetSupport (чаще всего v14.10, но также v12.50 и v11.30) и активно распространяет инфраструктуру по разным странам через хостинг-провайдеров в Литве, ОАЭ, России, Молдове, Великобритании и США.

Кластер FSHGDREE32/SGI характеризуется собственным RADIUSSecret и двумя различными, но связанными лицензиями - "FSHGDREE32" с максимальным количеством подключений 100,000 и "SGI" с 999,999 подключениями. Инфраструктура этой группы сосредоточена преимущественно в Восточной Европе, с использованием bulletproof-хостинга (пуленепробиваемый хостинг) и общих серверов имен между различными доменами.

Кластер XMLCTL, известный как UAC-0050 по классификации ProofPoint, представляет собой совершенно отдельную группу угроз, которая ранее атаковала украинские цели. Эта группа использует принципиально другую структуру параметров с SecurityKeyU вместо RADIUSSecret, нестандартные настройки портов и путей к файлам, а также коммерческую инфраструктуру вместо bulletproof-хостинга.

Для помощи исследователям безопасности eSentire разработала автоматизированную утилиту распаковки, которая обрабатывает различные варианты PowerShell-полезных нагрузок второго этапа и извлекает встроенные конфигурационные файлы и модули NetSupport. Этот инструмент охватывает не только варианты, описанные в исследовании, но и другие варианты, выявленные в ходе анализа через VirusTotal.

Специалисты подчеркивают важность повышенной бдительности при работе с подозрительными страницами, предлагающими исправление системных ошибок, и рекомендуют организациям усиливать мониторинг выполнения PowerShell-команд и использования легитимных инструментов удаленного доступа. Обнаружение и анализ этих кампаний демонстрируют продолжающуюся эволюцию тактик киберпреступников, которые все чаще маскируют вредоносную активность под легитимные системные процессы и инструменты администратора.

IPv4

• 109.107.175.17
• 141.98.11.175
• 176.65.140.160
• 185.163.45.130
• 185.163.45.30
• 185.163.45.41
• 185.225.17.74
• 185.39.19.233
• 193.143.1.216
• 194.0.234.17
• 23.227.198.208
• 38.132.101.38
• 38.146.28.242
• 45.142.193.119
• 62.164.177.48
• 85.208.84.220
• 85.208.84.35
• 91.224.92.11
• 94.158.245.104
• 94.158.245.111
• 94.158.245.115
• 94.158.245.13
• 94.158.245.135
• 94.158.245.137
• 94.158.245.174
• 94.158.245.56
• 94.158.245.81

Domains

• 2beinflow.com
• amxdh1.icu
• ayzyw.top
• benafaciario.com
• bylistening.com
• camplively.com
• care4hygiene.com
• caribemove.com
• chiklx.com
• cromvix.com
• cuenten.com
• cuoreincomune.com
• curemile.com
• deepholeintheworld.com
• eddereklam.com
• ejays.com
• exemplar-industry.com
• fivepathways.com
• freaner.com
• frontiersecu.com
• gcsglaw.com
• haidao10.top
• jelaromo.com
• jiezishijie.top
• kamagrafr.icu
• lastmychancetoss.com
• lordphoenix.net
• mawp.us
• michellegraci.com
• nicewk.com
• olbanha.com
• oljaeinfalt.com
• pennylamont.com
• poormet.com
• regopramide.top
• surethinks.com
• territoirespaysagistes.com
• todocarritos.top
• uncustomary.org
• utahlvs.com
• vietnam24hvoyage.com
• wavob.top
• westford-systems.icu
• yourcialsupply.top

SHA256

• 03401e4637259a56561ad3f18cc76933345f6a3c8d64dc44fc6751052471b551
• 06a0a243811e9c4738a9d413597659ca8d07b00f640b74adc9cb351c179b3268
• 168f1b974b31df0889e6dbe75f0fe8486cf932d72f0d6ad8348c97a2e537a738
• 18df68d1581c11130c139fa52abb74dfd098a9af698a250645d6a4a65efcbf2d
• 2799454ff46c3eb1b94278c7f5de53621665d8953dd478ecab939fc06a23343e
• 2e06ca68558d2f40d3fa262be8531f9621de3889d9cb2c3195be734a782fd4d2
• 312a0e4db34a40cb95ba1fac8bf87deb45d0c5f048d38ac65eb060273b07df67
• 31804c48f9294c9fa7c165c89e487bfbebeda6daf3244ad30b93122bf933c79c
• 37d1d033e19cf9dc7313846d9d4026b03d2f822efccd963e5697e9633a4df0d0
• 5c2aad823a0b3757889967c98acd6515eee5aaf20164b082cdf817598d5e7136
• 69ec5513e1edc5e450b4b0fbe782e25fadb89c787383da9ceca415301d3e8fb4
• 6b4219acaa29bb1b028a57c291dec2505d48ff75dbc308bfdb5b995cb255fefb
• 860393e31788499f8774be83c65bcf29658cc77bf96ee2f4c86b065aedbf77de
• 959e229a9308aff3104e46db178a7d8e28f5083c24cdedb41f760afb1a38e70f
• 973836529b57815903444dd5d4b764e8730986b1bd87179552f249062ee26128
• a417f700fd5c8d36a13b2edec341827f6f05bc24f045429225a08a112f140f68
• a823031ba57d0e5f7ef15d63fe93a05ed00eadfd19afc7d2fed60f20e651a8bb
• ab9689e59785fa63570b9e3750c39aa778f9e9cd671691f198130eadf8f6602d
• afc45cc0df7f7e481bff45c6f62a6418b6ae4c8b474ec36113e05ab7ca7e2743
• d5b13eb9e8afb79b4d7830caf3ac746637e5bda1752962e5bd0aed3352cc4a42
• d7b46caebba2157fa58f06d9b6571939e4d51882dc8000c8c264a585b5eedf98
• de5daba9d7b428addd0a4981a10562e104098443d21ad2ddc224a03b2672be35
• fd54baae445d9b79b5af9958440203ce99de2302228dc135f7f0e1ac2efd4324
• fda64df771aa9afc4c9ac7b3aaaf3a2020851acc3b51d6adf8cb7a32b766c9a4