Представьте себе: вы сидите за компьютером, листаете ленту, и тут выскакивает надоедливая капча. Привычное дело, сейчас пройдём проверку "Я не робот"... Но вместо привычных картинок с автобусами или светофорами, вам предлагают ввести команду в командной строке. Звучит как что-то из фильмов про хакеров 90-х, не так ли? А вот и нет – именно таким способом киберпреступники вернули к жизни древний, как мамонт, протокол Finger, которому, на минуточку, исполнилось 40 лет!
Эта технология старше самого Linux, который появился в 1991 году. Изначально Finger использовался в Unix-системах, затем перекочевал в Windows, где был благополучно забыт на десятилетия. Он нужен для получения базовой информации о пользователе: имя учетной записи, расположение домашнего каталога, номер телефона, время последнего посещения и прочие "секреты Полишинеля". До недавнего времени его считали безобидным атавизмом, но хакеры, как оказалось, тоже любят историю.
По данным Bleeping Computer, злоумышленники активно используют Finger в атаках серии ClickFix. Это когда пользователя буквально подталкивают к самостоятельному запуску вредоносного ПО, замаскированного под что-то невинное. Идеальный камуфляж для Finger — это, конечно же, та самая кнопка прохождения капчи.
Специалисты по кибербезопасности из MalwareHunterTeam забили тревогу, обнаружив исполняемый файл, который обращался к удалённому серверу именно через протокол Finger. Полученные данные затем передавались прямо в командную строку для выполнения! Сервер уже недоступен, но сам факт настораживает: это не единичный случай.
Один из пользователей Reddit под псевдонимом Primary-Loquat9023 уже успел наступить на эти грабли. Ему тоже предложили ввести команду в консоли для прохождения капчи. Итог: запуск Finger-запроса к удаленному серверу, а затем передача данных через системный cmd.exe.
Что происходило дальше? Команда создавала временную папку, копировала туда системный файл curl.exe (командная утилита для передачи данных) под случайным именем. Затем загружался небольшой архив, замаскированный под PDF-файл. Из него извлекались программы на Python, которые запускались через pythonw.exe. После этого следовал "обратный звонок" на сервер злоумышленника для подтверждения успешной операции, а пользователю на экран выводилось милое сообщение "Подтвердите, что вы человек".
Как выяснилось, содержимое архива с Python-программами однозначно указывало на цель атаки – кражу пользовательской информации. Но это ещё не всё. В ноябре 2025 года эксперты MalwareHunterTeam выявили аналогичную атаку, но с ещё более изощрённым набором действий. В этом случае Python-ПО сначала проверяло систему на наличие утилит для анализа вредоносных программ. Если таковые находились, атака автоматически прекращалась. А если нет, то скачивался и распаковывался ещё один "PDF-файл" с пакетом удаленного администрирования NetSupport Manager и скриптом для настройки планировщика задач. Таким образом, злоумышленники получали постоянный удалённый доступ к заражённому ПК.
Эксперты BleepingComputer полагают, что за этими атаками стоит одна и та же группировка. А их успех объясняется парадоксально: именно древностью протокола Finger. Многие о нём просто забыли, а большинство молодых пользователей и вовсе никогда не знали. Вот так "мумия" ожила и стала угрозой в современном цифровом мире. Будьте бдительны и помните: если вас просят ввести что-то в командной строке для прохождения капчи – это очень плохой знак!
