SmartApeSG ClickFix Kampanyası Remcos, NetSupport RAT, StealC ve Sectop RAT SUNUYOR

ZPHP ve HANEYMANEY isimleri altında da izlenen SmartApeSG olarak bilinen bir tehdit kampanyasının, ClickFix adlı bir sosyal mühendislik tekniği aracılığıyla birden fazla kötü amaçlı yazılım türünü ittiği gözlemlendi. 24 Mart 2026 gibi yakın bir tarihte aktif olan kampanya, tek bir oturumda virüs bulaşmış tek bir ana bilgisayara dört ayrı kötü amaçlı yazılım yükü teslim etti: Remcos RAT, NetSupport RAT, StealC ve ArechClient2 olarak da bilinen Sectop RAT. Bu etkinlik dalgası, saldırganların tek bir kullanıcı hatasından kaynaklanan hasarı en üst düzeye çıkarmak için bir kampanyanın içinde birden fazla aracı nasıl yığdığını gösterir. SmartApeSG, meşru ancak zaten ele geçirilmiş web sitelerine kötü amaçlı komut dosyaları ekleyerek çalışır. Bir kullanıcı bu sitelerden birini ziyaret ettiğinde, rutin bir doğrulama kontrolü gibi görünen ancak kullanıcıyı zararlı bir komut dosyası çalıştırması için kandırmak üzere tasarlanmış bir sayfa olan sahte bir CAPTCHA sayfasına yönlendirilir. Sahte CAPTCHA sayfası (Kaynak – İnternet Fırtınası Merkezi)

Gizliliği ihlal edilen web sitesi, eklenen komut dosyasını arka plana sessizce yükleyerek ziyaretçinin karşılaştığı aldatıcı sayfayı oluşturur. İnternet Fırtınası Merkezi araştırmacıları, bu son SmartApeSG dalgasını 24 Mart 2026 'da tespit ederek, kampanyanın her bir yükü birkaç saat içinde aşamalı bir sırayla nasıl teslim ettiğini belgeledi. Sahte CAPTCHA sayfası, kötü amaçlı bir komut dosyasını kullanıcının panosuna sessizce kopyalayan ve kurbanın Windows Çalıştır iletişim kutusundan manuel olarak yapıştırıp çalıştırmasını isteyen ClickFix talimatlarını taşır. Kullanıcı bu adımları izledikten sonra, enfeksiyon zinciri başlar ve tehlikeye giren makinede belirgin uyarı işaretleri olmadan çalışır. Bu kampanyanın etkisi ciddi çünkü tek bir kötü amaçlı yazılım ailesinde durmuyor. 17:12 UTC'den başlayarak, Remcos RAT trafiği ClickFix komut dosyası çalıştırıldıktan sadece bir dakika sonra tespit edildi. NetSupport RAT'I sadece dört dakika sonra takip etti.