Cibercriminosos estão explorando a técnica ClickFix para distribuir o trojan de acesso remoto NetSupport RAT desde o início de janeiro de 2025. O malware, que geralmente é disseminado por meio de sites falsos e atualizações fraudulentas de navegador, permite que os invasores controlem totalmente o dispositivo da vítima, monitorando a tela em tempo real, manipulando o teclado e o mouse, além de executar comandos maliciosos.

O NetSupport RAT, originalmente conhecido como NetSupport Manager, foi desenvolvido para suporte remoto legítimo de TI, mas acabou sendo reaproveitado por hackers para espionagem e roubo de dados. Com ele, os criminosos podem capturar prints de tela, áudios, vídeos e arquivos sigilosos de empresas e usuários. Segundo pesquisadores, o ClickFix insere uma falsa página CAPTCHA em sites comprometidos, induzindo a vítima a seguir instruções que envolvem copiar e executar comandos maliciosos do PowerShell.

Esses comandos fazem o download e a execução do NetSupport RAT a partir de servidores remotos, onde os componentes do malware são disfarçados em arquivos de imagem PNG. Além disso, a técnica ClickFix também está sendo usada para espalhar uma versão atualizada do malware Lumma Stealer, que agora emprega o cifra ChaCha20 para criptografar seu arquivo de configuração contendo a lista de servidores de comando e controle (C2). Segundo os especialistas, essa mudança demonstra que os desenvolvedores do malware estão aprimorando suas táticas para driblar ferramentas de detecção e análise.