Метод социальной инженерии ClickFix, который злоумышленники используют, подделывая проверки CAPTCHA для получения первоначального доступа, вырос на 517% во второй половине 2024 года и первой половине текущего года, сообщает компания ESET.
«Список угроз, возникающих из-за атак ClickFix, постоянно растет и включает в себя инфо-стиллеры, программы-вымогатели, трояны с удаленным доступом, криптомайнеры, инструменты для дальнейших атак и даже специализированное вредоносное ПО, связанное с государственными хакерскими группами», — объяснил Йири Кропач, директор лабораторий по предотвращению угроз в ESET.
ClickFix стал популярным и хитроумным методом, который обманывает жертву с помощью поддельных сообщений об ошибках или запросов CAPTCHA, заставляя её скопировать и вставить вредоносный скрипт в окно Windows Run или терминал macOS, после чего этот скрипт запускается.
Компания из Словакии отметила, что наибольший всплеск обнаружений ClickFix приходится на Японию, Пе́ру, Польшу, Испанию и Словакию.
Из-за высокой эффективности этой схемы злоумышленники начали создавать и распространять специальные генераторы страниц, заражённых ClickFix, чтобы другие хакеры также могли ими пользоваться, добавили в ESET.
От ClickFix к FileFix: новая коварная схема
Недавно исследователь безопасности mrd0x продемонстрировал действующую концепцию (PoC) альтернативы ClickFix под названием FileFix, которая обманывает пользователя, заставляя его вставлять путь к файлу в Проводник Windows.
Суть метода в том, чтобы получить тот же эффект, что и ClickFix, но иным путем — используя возможность Проводника выполнять системные команды через адресную строку, а также функцию загрузки файлов в браузере.
Сценарий атаки следующий: злоумышленник делает фишинговую страницу, где вместо поддельной CAPTCHA пользователь видит сообщение о том, что ему отправили документ, и просят нажать CTRL + L, чтобы скопировать и вставить путь к файлу в адресную строку Проводника.
На странице есть заметная кнопка «Открыть Проводник», при нажатии на которую запускается Проводник, а в буфер обмена автоматически копируется вредоносная команда PowerShell. Таким образом, когда жертва вставляет «путь к файлу», на самом деле запускается команда злоумышленника.
Это достигается так: в буфер обмена копируется строка с командой PowerShell, которая подставляется перед видимым «путём к файлу», при этом между ними ставятся пробелы, чтобы скрыть команду, а в конце добавляется знак «#», превращая всё, что идет дальше, в комментарий: «Powershell.exe -c ping example.com # C:\<путь_к_файлу>\обманный.doc».
«Кроме того, наша команда PowerShell добавляет фиктивный путь после комментария, чтобы спрятать настоящую команду и показать только путь к файлу», — объяснил mrd0x.
Волна фишинговых атак
Всплеск ClickFix совпал с ростом множества фишинговых кампаний, которые:
- Используют домены .gov для рассылки писем с угрозами о штрафах, чтобы заманить жертв на поддельные сайты и украсть личные и финансовые данные
- Применяют стратегию долгоживущих доменов (long-lived domains, LLDs), чтобы размещать или перенаправлять на кастомные CAPTCHA-страницы, после прохождения которых жертва попадает на поддельные страницы Microsoft Teams для кражи учётных данных
- Распространяют вредоносные ярлыки Windows (файлы LNK) внутри ZIP-архивов, которые запускают PowerShell-скрипты для установки трояна Remcos RAT
- Рассылают приманки с фальшивыми предупреждениями о переполнении почтового ящика и просьбой «освободить место» через кнопку в письме — после её клика жертва попадает на фишинговую страницу на базе IPFS, где воруют почтовые данные. Письма дополнительно содержат архив RAR, из которого при распаковке появляется вредонос XWorm
- Используют ссылки в PDF-файлах, ведущие к скачиванию ZIP-архива с программой на AutoIT — вредоносным похитителем Lumma Stealer
- Размещают поддельные сайты на легитимной платформе Vercel, распространяющие вредоносную версию LogMeIn с полным контролем над компьютером жертвы
- Маскируются под американские департаменты автомобильного транспорта (DMV), рассылая SMS о штрафах и перенаправляя на мошеннические сайты для сбора личных и банковских данных
- Рассылают письма с оформлением под SharePoint, переводящие пользователей на фальшивые страницы для кражи паролей Microsoft, размещённые на доменах "*.sharepoint[.]com"
«Письма со ссылками на SharePoint реже вызывают подозрения у систем EDR или антивирусов, поэтому пользователи склонны им доверять, считая, что ссылки Microsoft безопасны по умолчанию», — отмечают специалисты CyberProof.
«Фишинговые страницы на SharePoint часто динамические и действуют только по конкретной ссылке ограниченное время, что затрудняет их обнаружение автоматическими системами сканирования и песочницами».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru