Вредоносное ПО под названием Latrodectus стало новым примером использования популярной социальной инженерии ClickFix для распространения зловредов.
Latrodectus
«Опасность техники ClickFix в том, что вирус запускается прямо в оперативной памяти, не записываясь на диск», — объяснили специалисты Expel. «Из-за этого браузеры и антивирусы не могут его эффективно обнаружить и заблокировать.»
Latrodectus считается наследником IcedID — загрузчика, который скачивает и запускает другие вредоносные программы, включая ransomware. Впервые о нём сообщили эксперты Proofpoint и Team Cymru в апреле 2024 года.
Стоит отметить, что этот вирус попал под серьёзный удар во время операции Endgame. В мае 2025 года были выведены из строя 300 серверов и заблокированы 650 доменов, связанных с угрозами вроде Bumblebee, Latrodectus, QakBot, HijackLoader, DanaBot, TrickBot и WARMCOOKIE.
По последним данным Expel, в мае 2025 года атаки Latrodectus основаны на обмане пользователей: их заставляют скопировать и запустить команду PowerShell с заражённого сайта — сейчас это один из главных способов распространения вредоносов.
«При выполнении этих команд с помощью MSIExec скачивается и запускается файл прямо в памяти», — уточнили в Expel. «Так злоумышленники избегают записи файла на диск, что значительно снижает риск обнаружения браузерами и антивирусами.»
Установочный MSI-файл содержит легитимное приложение NVIDIA, которое незаметно загружает вредоносную DLL-библиотеку. Эта DLL с помощью curl скачивает основной вирусный код.
Чтобы защититься от подобных атак, рекомендуют отключить программу Windows Run через Group Policy Objects (GPO) или заблокировать сочетание клавиш «Windows + R» изменением реестра Windows.
От ClickFix к TikTok: новая эра взлома
В то же время Trend Micro выявила новую кампанию социальной инженерии: хакеры отказались от поддельных CAPTCHA. Теперь они создают ролики в TikTok, вероятно с помощью искусственного интеллекта, чтобы распространять кражу данных при помощи троянов Vidar и StealC. Видео учат пользователей запускать вредоносные команды для активации Windows, Microsoft Office, CapCut и Spotify.
Такие ролики публиковались с аккаунтов @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc и @digitaldreams771. Сегодня эти профили неактивны. Один из видео, обещавший «мгновенное улучшение Spotify», собрал почти полмиллиона просмотров, более 20 тысяч лайков и сотни комментариев.
Это новый этап развития ClickFix: жертвы, искавшие способ активировать нелегальные программы, получают подробные голосовые и визуальные инструкции — нажать «Windows + R», открыть PowerShell и выполнить команды, тем самым подвергая свои компьютеры риску.
«Киберпреступники теперь используют видеоконтент TikTok, созданный с помощью ИИ, чтобы убедить пользователей запускать PowerShell-команды под предлогом активации легального ПО или разблокировки премиальных функций», — пояснил эксперт по безопасности Джунестерри Делакруз.
«Эта кампания показывает, что злоумышленники всегда готовы использовать самые популярные соцсети для своих преступных схем.»
Фейковые приложения Ledger воруют seed-фразы пользователей Mac
Параллельно выявлены четыре кампании с вредоносными программами, основанными на клонах Ledger Live, направленные на кражу конфиденциальных данных, включая seed-фразы криптокошельков, чтобы полностью опустошать счета. Эта активность наблюдается с августа 2024 года.
Вредоносные DMG-файлы запускают AppleScript, который вытягивает пароли и данные из заметок Apple, а затем скачивает троянскую версию Ledger Live. После запуска приложение «сообщает» о проблеме с аккаунтом и просит ввести seed-фразу для восстановления доступа. Введённые данные сразу же отправляются на сервер мошенников.
Специалисты Moonlock Lab, обратившие внимание на эту кампанию, отметили в ней использование известных stealer-вредоносов для macOS — Atomic macOS Stealer (AMOS) и Odyssey. Последний внедрил эту новую схему фишинга в марте 2025 года. Также она пересекается с другой атакой на пользователей Ledger Live, где вредоносные файлы собирались через PyInstaller, как обнаружил Jamf в этом месяце.
«На форумах дарквеба всё больше разговоров о методах обмана пользователей Ledger. Следующая волна атак уже формируется, — отмечают эксперты по безопасности из MacPaw. — Хакеры не перестанут эксплуатировать доверие владельцев криптовалют к Ledger Live.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru