Специалисты в области кибербезопасности из лаборатории McAfee Labs выявили масштабную схему распространения вредоносных программ, известную как «ClickFix», которая использует поддельные CAPTCHA-страницы для установки вредоносной программы Lumma Stealer. Эта масштабная атака охватывает пользователей по всему миру и нацелена в первую очередь на тех, кто ищет взломанные версии игр, а также начинающих разработчиков, работающих с GitHub.
Существует два основных способа заражения. В первом случае пользователи, которые ищут пиратские или взломанные версии программ и игр, перенаправляются на сайты с фальшивыми CAPTCHA. Во втором — используются фишинговые письма, которые якобы поступают от GitHub, предупреждая о вымышленных угрозах безопасности проектов.
В обоих случаях пользователи сталкиваются с поддельной CAPTCHA, где им предлагают подтвердить, что они не роботы. При взаимодействии с этой страницей незаметно в буфер обмена копируется вредоносный скрипт, который затем пользователям предлагают вставить и выполнить. Это приводит к скрытой установке вредоносного ПО в их системе.
После прохождения фальшивой капчи запускается вредоносный скрипт.
Вредоносная кампания «ClickFix» использует различные методы для маскировки своего присутствия. Среди них — многоуровневое шифрование вредоносных скриптов, использование утилиты mshta.exe для скрытого запуска кода и шифрованные PowerShell-команды для загрузки и установки Lumma Stealer.
Согласно анализу McAfee, вредоносное ПО чаще всего сохраняется во временной папке пользователя, которая нередко не проверяется стандартными антивирусными программами. Компания уже предприняла шаги для защиты, такие как блокировка вредоносных URL-адресов и более простое выявление подозрительного использования mshta.exe.
Чтобы минимизировать угрозы, специалисты рекомендуют избегать загрузки пиратского программного обеспечения и проявлять осторожность при получении нежелательных писем, даже если они выглядят как отправленные от надежных источников. Главное правило — не копировать и не запускать скрипты из непроверенных источников, а также поддерживать актуальность антивирусного ПО.
Эта кибератака демонстрирует, как злоумышленники адаптируют свои методы, используя доверие пользователей к привычным веб-элементам, таким как CAPTCHA. Постоянная настороженность и повышение уровня осведомленности пользователей играют ключевую роль в защите от подобных угроз.