Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

ClickFix атакует WordPress и крадет данные через Vidar Stealer

3 мин
Австралийский центр кибербезопасности (ACSC) сообщил о продолжающейся кампании ClickFix, в рамках которой злоумышленники используют скомпрометированные сайты на платформе WordPress для распространения Vidar Stealer. По данным специалистов, атака в первую очередь нацелена на австралийскую инфраструктуру в различных секторах и активно использует элементы социальной инженерии. Главная особенность кампании — применение поддельных CAPTCHA, которые убеждают пользователей самостоятельно запускать вредоносные скрипты. В результате на системе жертвы устанавливается вредоносное ПО, предназначенное для кражи конфиденциальных данных. Исследование ACSC показывает, что активность ClickFix продолжается с начала 2024 года и со временем эволюционировала. В ряде инцидентов, по данным центра, злоумышленники использовали инфраструктуру легитимных австралийских компаний, что осложняет выявление атаки на ранней стадии. Операционная схема выглядит следующим образом: Таким образом, заражение происходит не тол
Оглавление

Австралийский центр кибербезопасности (ACSC) сообщил о продолжающейся кампании ClickFix, в рамках которой злоумышленники используют скомпрометированные сайты на платформе WordPress для распространения Vidar Stealer. По данным специалистов, атака в первую очередь нацелена на австралийскую инфраструктуру в различных секторах и активно использует элементы социальной инженерии.

Главная особенность кампании — применение поддельных CAPTCHA, которые убеждают пользователей самостоятельно запускать вредоносные скрипты. В результате на системе жертвы устанавливается вредоносное ПО, предназначенное для кражи конфиденциальных данных.

Как работает ClickFix

Исследование ACSC показывает, что активность ClickFix продолжается с начала 2024 года и со временем эволюционировала. В ряде инцидентов, по данным центра, злоумышленники использовали инфраструктуру легитимных австралийских компаний, что осложняет выявление атаки на ранней стадии.

Операционная схема выглядит следующим образом:

  • злоумышленники внедряют вредоносный домен в скомпрометированный веб-сайт;
  • на страницу загружается JavaScript-код, который изменяет контент, видимый пользователю;
  • скрипт вызывает обманный запрос на проверку Cloudflare;
  • после взаимодействия пользователю предлагается запустить как administrator скрытую команду PowerShell, уже скопированную в буфер обмена;
  • эта команда загружает и выполняет Vidar Stealer.

Таким образом, заражение происходит не только за счет технической эксплуатации уязвимости, но и за счет целенаправленного манипулирования действиями пользователя.

Что делает Vidar Stealer

Vidar Stealer ориентирован на кражу чувствительной информации в системах под управлением Windows. В числе целевых данных:

  • учетные данные;
  • данные браузеров;
  • криптокошельки.

ACSC отмечает, что вредоносное ПО использует техники уклонения от обнаружения. В частности, Vidar способен самоуничтожать исходный исполняемый файл, сохраняя при этом работоспособность и не оставляя явных следов в файловой системе.

Кроме того, стиллер устанавливает регулярные каналы управления C2 через URL-адреса мертвых дропов, часто используя такие платформы, как Telegram и Steam, для сокрытия деталей соединения. Украденные данные передаются злоумышленникам через HTTP/S POST-запросы, что позволяет смешивать вредоносный трафик с обычным сетевым обменом и затрудняет обнаружение.

Связь с MITRE ATT&CK

Инциденты, связанные с ClickFix, коррелируют с рядом техник из фреймворка MITRE ATT&CK. Среди них:

  • использование скомпрометированной инфраструктуры для атак;
  • эксплуатация Web Services;
  • выполнение команд PowerShell для развертывания ВПО;
  • применение тактик социальной инженерии, основанных на действиях пользователя.

Рекомендации по защите

Для снижения рисков, связанных с ClickFix и Vidar Stealer, ACSC рекомендует комплекс мер безопасности. Среди ключевых мер:

  • ограничение выполнения несанкционированных приложений и скриптов;
  • регулярное обновление WordPress и его компонентов;
  • внедрение стратегий усиления защиты пользовательских приложений;
  • использование multifactor authentication для снижения последствий кражи учетных данных;
  • регулярное резервное копирование для восстановления данных после возможного заражения.

Дополнительно центр подчеркивает важность строгих сетевых и DNS-контролей, а также ограничений PowerShell и стратегий предотвращения утечек данных. Эти меры, по оценке ACSC, могут существенно укрепить защиту от подобных угроз.

Ключевой фактор — осведомленность пользователей

ACSC отдельно указывает, что повышение осведомленности пользователей о тактиках социальной инженерии и потенциальных методах доставки ВПО играет решающую роль в предотвращении успешных атак. В случае ClickFix именно пользовательское действие становится триггером, который превращает скомпрометированный сайт в канал доставки вредоносного кода.

Иными словами, техническая защита должна дополняться внимательностью пользователей — без этого даже хорошо защищенная инфраструктура может оказаться уязвимой перед хорошо выстроенной схемой обмана.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ClickFix атакует WordPress и крадет данные через Vidar Stealer".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.