1887 подписчиков

ClickFix толкает новые кампании “Infostealer”

18 марта18 мар

4 мин

Киберпреступники используют скомпрометированные сайты и изощрённые методы социальной инженерии для распространения Infostealer под названием ClickFix. В одной кампании заражено более 250 сайтов WordPress. Microsoft зафиксировала параллельную атаку с использованием Windows Terminal. — csoonline.com Киберпреступники объединяют скомпрометированные веб-сайты с всё более изощрёнными методами социальной инженерии для распространения нового вредоносного ПО для кражи данных (Infostealer). Всё это известно под названием ClickFix — и это эффективно: в рамках одной кампании было заражено более 250 сайтов на WordPress в двенадцати странах. В то время как эта кампания приводит к использованию незаметных вредоносных программ, выполняющихся в оперативной памяти, Microsoft параллельно зафиксировала другую атаку, которая использует Windows Terminal для выполнения вредоносного ПО — вместо традиционного диалогового окна «Выполнить». Кампания, нацеленная на WordPress, активна с декабря 2025 года и предлаг

Оглавление

Три хорошо замаскированные полезные нагрузки
Цифровой «Ядовитый пончик»
Используется вариант Vidar Stealer

Киберпреступники объединяют скомпрометированные веб-сайты с всё более изощрёнными методами социальной инженерии для распространения нового вредоносного ПО для кражи данных (Infostealer). Всё это известно под названием ClickFix — и это эффективно: в рамках одной кампании было заражено более 250 сайтов на WordPress в двенадцати странах.

В то время как эта кампания приводит к использованию незаметных вредоносных программ, выполняющихся в оперативной памяти, Microsoft параллельно зафиксировала другую атаку, которая использует Windows Terminal для выполнения вредоносного ПО — вместо традиционного диалогового окна «Выполнить».

Кампания, нацеленная на WordPress, активна с декабря 2025 года и предлагает посетителям поддельные запросы CAPTCHA от Cloudflare, как сообщают исследователи из компании по безопасности Rapid7 в своём блоге. Среди скомпрометированных сайтов WordPress — региональные новостные порталы, сайты местных компаний и даже официальный сайт кандидата в Сенат США.

«Масштабная атака на совершенно независимые инсталляции WordPress указывает на высокую степень автоматизации со стороны злоумышленников и, вероятно, является частью организованной долгосрочной преступной деятельности», — говорится в отчёте.

Три хорошо замаскированные полезные нагрузки

Технически кампания ClickFix для WordPress распространяет три отдельные полезные нагрузки Infostealer — две из которых ранее были неизвестны — и использует доменную инфраструктуру, которая, по-видимому, существует с июля 2025 года.

Злоумышленники маскируют внедрённый ими JavaScript-код под оптимизацию производительности, которая активируется только в том случае, если в браузере посетителя отсутствует cookie администратора WordPress. Таким образом вредоносное ПО скрывается от администраторов сайтов.

Затем скрипт запрашивает поддельную CAPTCHA от Cloudflare с одного из 14 доменов, контролируемых злоумышленниками, которые все указывают на один и тот же IP-адрес. Поддельный запрос CAPTCHA затем предлагает посетителям скопировать команду и вставить её в диалоговое окно «Выполнить» в Windows.

Цифровой «Ядовитый пончик»

Вредоносная команда состоит из обфусцированного кода JavaScript и PowerShell, который запускает так называемый загрузчик DoubleDonut Loader в оперативной памяти. Этот загрузчик внедряет вредоносный код непосредственно в легитимные процессы Windows.

«Цепочка вредоносного ПО выполняется почти исключительно в оперативной памяти и в контексте незаметных процессов Windows, что делает традиционное файловое обнаружение неэффективным», — объясняют эксперты Rapid7.

Поскольку скомпрометированные сайты используют разные версии или плагины WordPress, исследователи предполагают, что злоумышленники могут использовать слабые учётные данные или комбинировать эксплойты для нескольких уязвимостей.

Используется вариант Vidar Stealer

Загрузчик DoubleDonut Loader был замечен при распространении новой версии известного Infostealer Vidar Stealer. Он использует так называемую технику Dead-Drop-Resolver для определения своей конфигурации Command-and-Control и динамического разрешения API.

Кроме того, исследователи обнаружили два ранее не документированных Infostealer, один из которых написан на .NET, а другой на C++. Программы, названные Rapid7 Impure Stealer и VodkaStealer, используют специальные методы для того, чтобы оставаться незамеченными. К ним относятся необычное кодирование данных, симметричное шифрование связи или обнаружение песочницы с помощью системных и временных проверок.

Эволюция приманок

Тактики ClickFix также развиваются. Команда Threat Intelligence от Microsoft выявила кампанию, в которой классическое диалоговое окно «Выполнить» (Win+R) было заменено приложением Windows Terminal (Win+X) для выполнения команд.

При этом распространялись, среди прочего, известный Lumma Stealer и программа удалённого доступа NetSupport RAT. Ещё одна цепочка атак использовала VBScript через MSBuild, а также технику под названием Etherhiding для загрузки кода, собирающего учётные данные.

Популярен среди государственных и частных преступников

По оценкам компании ESET, атаки ClickFix выросли на 517 процентов за последний год. Варианты CrashFix, ConsentFix и PhantomCaptcha, используемые в этих атаках, по-видимому, работают с различными приманками и механизмами доставки.

Эта базовая тактика социальной инженерии оказалась настолько эффективной, что её используют даже государственные группировки, такие как северокорейская Lazarus Group, иранская MuddyWater и российская APT28. Ещё в январе исследователи Sekoia сообщали, что ещё один фреймворк ClickFix под названием IClickFix был внедрён более чем в 3800 сайтов WordPress с 2024 года.