- 19,447
- 40
- 8 Ноя 2022
ClickFix добрался до России.
В мае — начале июня 2025 года минимум 30 российских компаний подверглись атакам с использованием техники Для просмотра ссылки Войдиили Зарегистрируйся , сообщает BI.ZONE Threat Intelligence. До этого данный подход применялся только против зарубежных организаций. ClickFix основан на вовлечении пользователя в выполнение вредоносных действий под видом устранения «технической проблемы».
По данным аналитиков, в обеих зафиксированных кампаниях злоумышленники рассылали Для просмотра ссылки Войдиили Зарегистрируйся PDF-документы, оформленные якобы от имени российских силовых ведомств. Основной текст в файле был заблюрен, и для его просмотра предлагалось «подтвердить, что вы не робот». Нажатие на кнопку «Я не робот» перенаправляло пользователя на сайт с фальшивой CAPTCHA. При клике на элемент жертва незаметно копировала в Для просмотра ссылки Войди или Зарегистрируйся PowerShell-скрипт.
Затем пользователя просили выполнить ряд инструкций, включая комбинации Win + R, Ctrl + V и Enter, якобы для подтверждения доступа к документу. Таким образом жертва запускала вредоносный код вручную.
Скрипт скачивал изображение в формате PNG с сервера атакующих и извлекал из него загрузчик Octowave Loader. Последний содержал как легитимные файлы, так и вредоносные. Один из компонентов использовал методы Для просмотра ссылки Войдиили Зарегистрируйся для сокрытия исполняемого кода, который активировал ранее неизвестный RAT — троян удалённого доступа собственной разработки.
Этот RAT сначала собирал базовую информацию о системе жертвы, а затем позволял злоумышленникам удалённо запускать команды и процессы. Исследователи отмечают, что применение сложной цепочки заражения и стеганографии направлено на обход защитных механизмов и затруднение обнаружения угрозы.
Особенность атаки — использование PNG-файлов с политическими мемами. Однако содержимое изображений не отображалось пользователю — загрузка происходила в фоновом режиме.
По оценке BI.ZONE, применение уникального RAT и маскировка под официальную переписку от госорганов указывает на шпионскую природу атак. В компании подчеркнули, что «злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии».
В мае — начале июня 2025 года минимум 30 российских компаний подверглись атакам с использованием техники Для просмотра ссылки Войди
По данным аналитиков, в обеих зафиксированных кампаниях злоумышленники рассылали Для просмотра ссылки Войди
Затем пользователя просили выполнить ряд инструкций, включая комбинации Win + R, Ctrl + V и Enter, якобы для подтверждения доступа к документу. Таким образом жертва запускала вредоносный код вручную.
Скрипт скачивал изображение в формате PNG с сервера атакующих и извлекал из него загрузчик Octowave Loader. Последний содержал как легитимные файлы, так и вредоносные. Один из компонентов использовал методы Для просмотра ссылки Войди
Этот RAT сначала собирал базовую информацию о системе жертвы, а затем позволял злоумышленникам удалённо запускать команды и процессы. Исследователи отмечают, что применение сложной цепочки заражения и стеганографии направлено на обход защитных механизмов и затруднение обнаружения угрозы.
Особенность атаки — использование PNG-файлов с политическими мемами. Однако содержимое изображений не отображалось пользователю — загрузка происходила в фоновом режиме.
По оценке BI.ZONE, применение уникального RAT и маскировка под официальную переписку от госорганов указывает на шпионскую природу атак. В компании подчеркнули, что «злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии».
- Источник новости
- www.securitylab.ru
