Специалисты по кибербезопасности предупреждают о новой серии атак, в которых злоумышленники применяют методику ClickFix, чтобы заставить пользователей macOS скачать вредоносное ПО — троян Atomic macOS Stealer (AMOS).
По информации компании CloudSEK, злоумышленники используют домены с ошибками в написании, похожие на сайты американского телеком-провайдера Spectrum.
«Пользователям macOS предлагают запустить вредоносный shell-скрипт, который похищает системные пароли и устанавливает вредоносный файл AMOS для дальнейших атак», — сообщает эксперт по безопасности Кушик Пал в отчёте за эту неделю. «Этот скрипт использует встроенные команды macOS для сбора учётных данных, обхода защиты и запуска вредоносного ПО.»
Из-за того, что в исходном коде вредоноса найдено множество комментариев на русском языке, эксперты предполагают, что за атаками стоят русскоязычные киберпреступники.
Поддельный сайт маскируется под Spectrum с адресами типа "panel-spectrum[.]net" или "spectrum-ticket[.]net". Пользователям показывают сообщение с просьбой пройти проверку через hCaptcha, чтобы «подтвердить безопасность соединения».
Однако при нажатии на кнопку «Я не робот» появляется ошибка: «Проверка CAPTCHA не удалась», после чего предлагают пройти «альтернативную проверку».
При нажатии в буфер обмена копируется специальная команда, а пользователю показывают инструкции, адаптированные под его операционную систему. Например, для Windows советуют запустить PowerShell через окно «Выполнить», а для macOS — запустить shell-скрипт через Terminal.
Этот shell-скрипт запросит у пользователя системный пароль и затем загрузит следующий этап вредоносного кода — известный троян Atomic Stealer, крадущий пароли.
«Ошибки в работе сайтов для доставки вредоносного ПО, например несоответствие инструкций разным платформам, говорят о поспешном создании инфраструктуры», — отмечает Пал.
«В заражённых страницах даже встречались ошибки в коде и интерфейсе: пользователям Linux копировалась команда PowerShell, а подсказка «Нажмите и удерживайте клавиши Windows + R» появлялась и у владельцев macOS.»
Раскрытие этой атаки совпало с ростом применения метода ClickFix за последний год — его используют для распространения разных вредоносных семейств.
«Злоумышленники, проводящие целенаправленные атаки, часто пользуются похожими приёмами для первого проникновения: это может быть фишинг, заражение браузера при просмотре страниц или использование доверия к популярным онлайн-платформам вроде GitHub для доставки вредоносного ПО», — объясняют в Darktrace.
Рассылаемые ссылки перенаправляют пользователей на вредоносные сайты с поддельной CAPTCHA, которая преднамеренно не проходит проверку. Затем жертве предлагают пройти альтернативную «проверку», которая запускает вредоносные команды.
В итоге пользователи сами открывают злоумышленникам доступ к своим системам, обходя встроенные меры защиты.
В одном случае в апреле 2025 года, проанализированном Darktrace, неизвестные атакующие использовали ClickFix для незаметной загрузки вредоносных программ, углубляясь в сеть жертвы, перемещаясь по системе, отправляя данные на внешний сервер и похищая информацию.
«ClickFix — простой, но эффективный способ, который пользуется человеческой ошибкой, чтобы обойти защиту», — подчёркивает Darktrace. «Обманывая пользователей и заставляя их выполнять привычные действия, злоумышленники получают первый доступ к системам и могут похищать важные данные.»
Другие атаки по схеме ClickFix используют поддельные версии популярных CAPTCHA-сервисов, таких как Google reCAPTCHA или Cloudflare Turnstile, выдавая их за обычные проверки безопасности.
Эти фейковые страницы практически полностью копируют оригиналы, иногда даже встраиваясь в взломанные настоящие сайты, чтобы обмануть доверчивых посетителей. Среди вредоносных программ, распространяемых через поддельные страницы Turnstile, — крадущие пароли Lumma и StealC, а также мощные трояны для удалённого доступа, например NetSupport RAT.
«Пользователи устали от постоянных проверок и CAPTCHA, поэтому быстро нажимают на кнопки, не задумываясь», — объясняет Дэниел Келли из SlashNext. «Атаки ClickFix используют эту усталость — зная, что многие готовы пройти любые шаги, если они выглядят как обычная процедура.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru