ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

142
142 امتیاز

امنیت, باگ, بدافزار, جرایم سایبری, درز اطلاعات, سرقت اطلاعات

استفاده هکرها از تکنیک «ClickFix» برای نصب NetSupport RAT از طریق سایت‌های وردپرس آلوده

143نمایش

پژوهشگران امنیتی یک کمپین پیچیده‌ی سایبری را شناسایی کرده‌اند که در آن مهاجمان با آلوده کردن وب‌سایت‌های وردپرس (WordPress)، بدافزار NetSupport RAT را از طریق ترفند مهندسی اجتماعی جدیدی به نام ClickFix توزیع می‌کنند.

این کمپین توسط تیم Cybereason GSOC در ماه می ۲۰۲۵ کشف شد و نشان می‌دهد که چگونه ابزارهای مشروع کنترل از راه دور می‌توانند به شکل مخفیانه برای دسترسی غیرمجاز به سیستم‌ها مورد سوءاستفاده قرار بگیرند.

🧬 زنجیره حمله چندمرحله‌ای

  1. شروع با ایمیل فیشینگ، PDF آلوده یا لینک در سایت‌های بازی

  2. هدایت قربانی به سایت وردپرسی آلوده

  3. بارگذاری خودکار اسکریپت مخرب j.js از دامنه‌ی islonline.org از طریق meta tag

  4. شناسایی سیستم‌عامل کاربر (ویندوز) و بررسی بازدید قبلی با استفاده از local storage

🎭 تکنیک ClickFix – حمله با دست خود قربانی

در مرحله بعد، کاربران به یک صفحه تأیید CAPTCHA جعلی هدایت می‌شوند که با استفاده از React و TailwindCSS طراحی شده تا کاملاً معتبر به‌نظر برسد.

اما این کپچا:

  • به‌جای بررسی انسان بودن کاربر، یک دستور PowerShell مخرب را در کلیپ‌بورد کاربر کپی می‌کند

  • سپس از کاربر می‌خواهد Win+R را فشار دهد و «کد تأیید» را در Run وارد کند

قربانی که تصور می‌کند مراحل احراز هویت را طی می‌کند، عملاً خودش دستور نصب NetSupport RAT را اجرا می‌کند.

🧠 چرا این روش خطرناک است؟

  • چون هیچ اکسپلویت فنی مستقیم وجود ندارد

  • قربانی خودش آخرین گام را اجرا می‌کند و به‌همین دلیل:

    • آنتی‌ویروس‌ها و سیستم‌های تشخیص خودکار از آن عبور می‌کنند

    • دستورات مخرب مثل “Invoke-WebRequest” یا “Start-Process” از طریق کاربر اجرا می‌شوند

  • NetSupport سپس یک کانال دائمی با سرور C2 در مولداوی برقرار می‌کند

⚙️ فعالیت‌های بعد از آلودگی

  • ایجاد کلید رجیستری برای ماندگاری بعد از ریبوت

  • شناسایی زیرساخت شبکه با دستورات PowerShell و net group

  • استفاده از قابلیت‌های داخلی NetSupport برای اجرای دستورات در پس‌زمینه

  • بارگذاری و دانلود فایل‌ها از پوشه‌های عمومی

طبق داده‌های تهدید، NetSupport Manager در سال ۲۰۲۴ در رتبه هفتم رایج‌ترین بدافزارها قرار داشته و مجرمان سایبری به‌دلیل ماهیت مشروع آن، تمایل زیادی به استفاده از آن دارند.

🛡 توصیه‌های امنیتی

  • قرنطینه فوری سیستم‌های آلوده

  • تغییر رمز حساب‌های در معرض خطر

  • بستن دسترسی به دامنه‌ها و IPهای شناسایی‌شده

  • پایش PowerShell برای دستورات مشکوک

  • تشخیص دستکاری در کلیپ‌بورد از طریق افزونه‌های مرورگر یا ابزارهای EDR

  • بررسی کامل قالب‌ها و افزونه‌های وردپرس برای تزریق کد جاوااسکریپت

«هر دستورالعملی که از کاربر بخواهد کدی را در Run اجرا کند باید به‌عنوان هشدار جدی تلقی شود.»

📌 جمع‌بندی

کمپین ClickFix نشان‌دهنده تغییر جهت مهاجمان از اکسپلویت فنی به مهندسی اجتماعی پیشرفته است. با بهره‌گیری از اعتماد کاربران به CAPTCHA و تکنیک‌های طراحی رابط حرفه‌ای، حمله‌ای بی‌سروصدا و مؤثر اجرا می‌شود. ابزارهایی مثل NetSupport که به‌ظاهر قانونی هستند، در دستان مهاجمان به ابزارهای قدرتمند جاسوسی تبدیل شده‌اند.

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

142
142 امتیاز

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

واکنش شما به این مطلب چیست ؟

جالب جالب
0
جالب
خنده‌دار خنده‌دار
6
خنده‌دار
انزجار انزجار
4
انزجار
عجیب عجیب
4
عجیب
ناراحت ناراحت
3
ناراحت
بد بد
2
بد
باحال باحال
0
باحال
خوب خوب
6
خوب
ترسناک ترسناک
5
ترسناک

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت