«Реальность мира кибербезопасности показывает практическими примерами, что всё новое — это хорошо забытое старое», — констатирует Ирина Дмитриева, эксперт в области кибербезопасности и аналитик компании «Газинформсервис». Она объяснила, что именно в ландшафт киберугроз вновь врываются атаки класса ClickFix («исправление через нажатие»). Это атаки, при которых жертва не скачивает исполняемый файл, а самостоятельно вводит безобидный на вид код в командную строку, который запускает каскад вредоносной активности на устройстве. Зачастую пользователь совершает такие манипуляции с целью “бесплатной” активации лицензионного продукта или дополнительной настройки Windows.
«Стабильно мутирующий и возвращающийся из забвения ClickFix гуляет по социальным сетям, форумам и поисковым системам. Вредоносные инструкции для “активации” распространяются в виде рекламных предложений, и эксплуатируют алгоритмы рекомендаций. Злоумышленники размещают “технические гайды” на платформах через всеми предпочитаемые форматы коротких легких роликов. Темы подбираются под повышенный пользовательский спрос: разблокировка премиум-функций в платных стриминговых сервисах, активация Microsoft Office, установка плагинов для Adobe Acrobat, получение доступа к платным функциям нейросетей Cursor и ChatGPT. Подобные ролики уже набрали миллионы просмотров в социальных сетях, что расширяет охват, распространяя вредоносные инструкции по сарафанному радио», — подчеркнула эксперт.
В одном из зафиксированных случаев жертва, увлекавшаяся кастомизацией клиента Spotify через легальный инструмент Spicetify, стала лёгкой добычей видео, обещавшего «бесплатный Premium».
Механика заражения предполагает, что жертва, ознакомившись с видеоинструкцией, откроет PowerShell и выполнит короткую команду формата: iex (iwr ). Особенность данной команды — выполнение вредоносного скрипта только в том случае, если в User-Agent указано «PowerShell». Для правдоподобности в тексте URL-адреса используются короткие домены с путями /windows или /office. Первичный скрипт проводит обширную работу: тщательно проверяет среду на наличие песочниц и виртуальных машин, прячется от Microsoft Defender, а в отдельных случаях закрепляется в системе через ключи реестра Run или планировщик задач. Во многих случаях первичный скрипт перенаправляет на дополнительный URL-адрес, с которого загружается основная вредоносная нагрузка.
«Конечная цель кампании — кража данных, которая достигается через популярные стилеры Vidar, StealC и AuraStealer», — акцентировала внимание Ирина Дмитриева.
Она добавила, что, несмотря на кажущуюся ориентированность на частных пользователей, практика уже показала, что ClickFix несёт прямые риски для корпоративной среды. Использование личных аккаунтов на рабочих устройствах для развлекательного контента ставит под угрозу безопасность всей инфраструктуры компании. Реализация вектора атаки, при котором сотрудник вводит “безобидную” команду PowerShell для бесплатного прослушивания музыки, может попросту открыть злоумышленникам путь во внутреннюю инфраструктуру.
Противодействие атакам класса ClickFix требует проведения работы внутри корпоративной структуры. Безусловные ограничения на инфраструктурном уровне расширенных прав доступа на скачивание сторонних приложений, ограничение доступа к развлекательным ресурсам и запрет на запуск PowerShell позволят снизить часть рисков. В данном случае также стоит уделить внимание индикаторам компрометации, которые выявили исследователи. Но для поддержания стойкой многорубежной защиты от кибератак может прийти на помощь GSOC компании «Газинформсервис». Аналитики обеспечивают проактивную защиту в тех случаях, когда требуется анализ телеметрии, корреляция скрытых угроз с глобальными данными TI и реагирование на угрозы в реальном времени.
Оригинал публикации на сайте CISOCLUB: "Эксперт Ирина Дмитриева: ClickFix-атаки переживают внеочередной ренессанс".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.