Μια εκστρατεία απειλών γνωστή ως SmartApeSG – που επίσης παρακολουθείται με τα ονόματα ZPHP και HANEYMANEY – έχει παρατηρηθεί ότι ωθεί πολλαπλά στελέχη κακόβουλου λογισμικού μέσω μιας τεχνικής κοινωνικής μηχανικής που ονομάζεται ClickFix.
Η καμπάνια, που ήταν ενεργή μόλις στις 24 Μαρτίου 2026, παρέδωσε τέσσερα ξεχωριστά ωφέλιμα φορτία κακόβουλου λογισμικού σε έναν μολυσμένο κεντρικό υπολογιστή σε μία περίοδο λειτουργίας: Remcos RAT, NetSupport RAT, StealC και Sectop RAT, γνωστό και ως ArechClient2.
Αυτό το κύμα δραστηριότητας δείχνει πώς οι εισβολείς στοιβάζουν πολλά εργαλεία μέσα σε μια καμπάνια για να μεγιστοποιήσουν τη ζημιά από ένα λάθος χρήστη.
Το SmartApeSG λειτουργεί εισάγοντας κακόβουλα σενάρια σε νόμιμους αλλά ήδη παραβιασμένους ιστότοπους.
Όταν ένας χρήστης επισκέπτεται έναν από αυτούς τους ιστότοπους, ανακατευθύνεται σε ένα ψεύτικη σελίδα CAPTCHA — μια σελίδα που μοιάζει με έλεγχο ρουτίνας επαλήθευσης, αλλά έχει σχεδιαστεί για να ξεγελάσει τον χρήστη ώστε να εκτελέσει ένα επιβλαβές σενάριο.
.webp.jpeg)
Ο παραβιασμένος ιστότοπος φορτώνει σιωπηλά το σενάριο που έχει εισαχθεί στο παρασκήνιο, δημιουργώντας την παραπλανητική σελίδα που συναντά ο επισκέπτης.
Οι ερευνητές του Internet Storm Center εντόπισαν αυτό το τελευταίο κύμα SmartApeSG στις 24 Μαρτίου 2026, καταγράφοντας τον τρόπο με τον οποίο η καμπάνια παρέδωσε κάθε ωφέλιμο φορτίο σε μια σταδιακή ακολουθία για αρκετές ώρες.
Η ψεύτικη σελίδα CAPTCHA φέρει οδηγίες ClickFix που αντιγράφουν σιωπηλά ένα κακόβουλο σενάριο στο πρόχειρο του χρήστη, ζητώντας από το θύμα να το επικολλήσει και να το εκτελέσει με μη αυτόματο τρόπο μέσω του παραθύρου διαλόγου Εκτέλεση των Windows.
Μόλις ο χρήστης ακολουθήσει αυτά τα βήματα, η αλυσίδα μόλυνσης ξεκινά και λειτουργεί χωρίς εμφανή προειδοποιητικά σημάδια στο μηχάνημα που έχει υποστεί βλάβη.
Ο αντίκτυπος αυτής της καμπάνιας είναι σοβαρός επειδή δεν σταματά σε μία οικογένεια κακόβουλου λογισμικού. Ξεκινώντας στις 17:12 UTC, η κίνηση του Remcos RAT εντοπίστηκε μόλις ένα λεπτό μετά την εκτέλεση του σεναρίου ClickFix.
Το NetSupport RAT ακολούθησε μόλις τέσσερα λεπτά αργότερα. Στη συνέχεια, περίπου μία ώρα μετά από αυτό, η StealC άρχισε να στέλνει δεδομένα στον δικό της διακομιστή εντολών και ελέγχου, ακολουθούμενη από Το Sectop RAT περίπου μία ώρα και δεκαοκτώ λεπτά μετά την εμφάνιση του StealC.
Αυτή η κλιμακωτή παράδοση δίνει στους υπερασπιστές ένα στενό παράθυρο για να συλλάβουν τη μόλυνση προτού ήδη εκτελούνται πολλές απειλές παράλληλα στο ίδιο σύστημα.
Ο συνολικός συνδυασμός ωφέλιμου φορτίου – ένας RAT με δυνατότητα keylogger, ένα εργαλείο απομακρυσμένης υποστήριξης που στρέφεται κατά των χρηστών, ένας κλέφτης διαπιστευτηρίων και ένας δεύτερος RAT – καθιστά σαφές ότι το SmartApeSG έχει δημιουργηθεί για να παρέχει στους εισβολείς βαθιά και ποικίλη πρόσβαση σε ένα μηχάνημα θύματος από ένα μεμονωμένο συμβάν μόλυνσης.
Πλαϊνή φόρτωση DLL: Πώς το κακόβουλο λογισμικό κρύβεται σε κοινή θέα
Μία από τις πιο αξιοσημείωτες τεχνικά πτυχές αυτής της καμπάνιας είναι ο τρόπος με τον οποίο κρύβει επιβλαβή κώδικα μέσα σε πακέτα που περιέχουν επίσης νόμιμο λογισμικό.
Τα αρχεία αρχειοθέτησης για τα Remcos RAT, StealC και Sectop RAT βασίζονται όλα σε μια τεχνική που ονομάζεται πλευρική φόρτωση DLL, όπου χρησιμοποιείται ένα αξιόπιστο και αναγνωρισμένο εκτελέσιμο αρχείο για τη αθόρυβη φόρτωση ενός κακόβουλου αρχείου DLL δίπλα του.
Δεδομένου ότι το κύριο εκτελέσιμο εμφανίζεται καθαρό και οικείο, πολλά εργαλεία ασφαλείας ενδέχεται να μην επισημαίνουν αμέσως αυτό που συμβαίνει. Το NetSupport RAT ακολουθεί διαφορετική διαδρομή — είναι από μόνο του μια πραγματική και νόμιμη εφαρμογή απομακρυσμένης υποστήριξης, αλλά σε αυτήν την καμπάνια, έχει διαμορφωθεί έτσι ώστε να συνδέεται με έναν διακομιστή που ελέγχεται από τους εισβολείς και όχι σε έναν αξιόπιστο.
Η κίνηση δικτύου που φιλτράρεται στο Wireshark αποκαλύπτει τις διακριτές συνδέσεις που κάνει κάθε στέλεχος κακόβουλου λογισμικού με τον δικό του διακομιστή εντολών και ελέγχου.
Το αρχείο HTA που ξεκινά το Η λήψη του Remcos RAT ανασύρθηκε από urotypos[.]com και αποθηκεύτηκε τοπικά ως post.hta πριν τρέξει.
Ουσιαστικά, το σενάριο ClickFix διαγράφει αυτό το αρχείο HTA αμέσως μετά την εκτέλεσή του, καθιστώντας την ιατροδικαστική έρευνα πιο δύσκολη για τις ομάδες απόκρισης που δεν κολλούν γρήγορα τη μόλυνση.
Συνιστάται στους οργανισμούς να αποκλείσουν τους τομείς urotypos[.]com και fresicrto[.]top σε επίπεδο DNS και τείχους προστασίας και για παρακολούθηση της εξερχόμενης κίνησης προς 95.142.45[.]231, 185.163.47[.]220, 89.46.38[.]100και 195.85.115[.]11.
Οι εργαζόμενοι θα πρέπει να εκπαιδεύονται να μην επικολλούν ή να εκτελούν ποτέ περιεχόμενο του προχείρου που ζητείται από οποιονδήποτε ιστότοπο. Οι ομάδες ασφαλείας θα πρέπει επίσης να παρακολουθούν για απροσδόκητη εκτέλεση αρχείων HTA και ασυνήθιστη δραστηριότητα φόρτωσης DLL σε καταλόγους προσβάσιμους από το χρήστη, όπως το AppData και το ProgramData.
