Добавить в корзинуПозвонить
Найти в Дзене

Капча со вкусом трояна

Посетители информационного ресурса Gizmodo стали жертвами скоординированной кибератаки типа ClickFix. Инцидент заключался в демонстрации пользователям поддельных окон верификации CAPTCHA, которые с помощью методов социальной инженерии убеждали их выполнить вредоносные команды в системном терминале. Для пользователей операционных систем семейства Windows выполнение данных инструкций приводило к скрытой установке трояна удалённого доступа (RAT), известного как NetSupport RAT. Продолжительность атаки составила несколько часов, а её причиной послужила компрометация учётной записи сотрудника издания, что позволило злоумышленникам внедрить на страницы сайта вредоносный скрипт. Пользователи активно делились в социальных сетях скриншотами всплывающих окон, имитирующих стандартную проверку «человек/робот». В отличие от легитимных механизмов, данный элемент требовал от посетителя подтверждения своей личности путём ручного ввода команд в терминал операционной системы. Данный вектор нападения клас

Посетители информационного ресурса Gizmodo стали жертвами скоординированной кибератаки типа ClickFix. Инцидент заключался в демонстрации пользователям поддельных окон верификации CAPTCHA, которые с помощью методов социальной инженерии убеждали их выполнить вредоносные команды в системном терминале. Для пользователей операционных систем семейства Windows выполнение данных инструкций приводило к скрытой установке трояна удалённого доступа (RAT), известного как NetSupport RAT. Продолжительность атаки составила несколько часов, а её причиной послужила компрометация учётной записи сотрудника издания, что позволило злоумышленникам внедрить на страницы сайта вредоносный скрипт.

Пользователи активно делились в социальных сетях скриншотами всплывающих окон, имитирующих стандартную проверку «человек/робот». В отличие от легитимных механизмов, данный элемент требовал от посетителя подтверждения своей личности путём ручного ввода команд в терминал операционной системы. Данный вектор нападения классифицируется специалистами как атака ClickFix.

Принцип действия атак класса ClickFix основан на эксплуатации человеческого фактора — обманом заставить жертву самостоятельно инициировать заражение собственной системы. Злоумышленники под различными предлогами (например, исправление ошибок отображения контента, имитация критического сбоя BSOD или устранение замедления работы браузера) принуждают пользователя скопировать из буфера обмена и исполнить команду, чаще всего для интерпретатора PowerShell в среде Windows. Это позволяет обойти традиционные средства защиты, поскольку запуск вредоносного кода инициируется вручную самим пользователем. Хотя основной целью таких кампаний являются пользователи Windows, эксперты по информационной безопасности неоднократно фиксировали случаи адаптации данного метода для платформ macOS и Linux.

Согласно аналитике компании Proofpoint, за организацией данной конкретной кампании стоит оператор теневого сервиса ErrTraffic. Данная платформа функционирует по модели предоставления услуг «Malware-as-a-Service», известной как ClickFix-as-a-Service (CaaS). Она предоставляет своим клиентам готовую инфраструктуру для проведения подобных атак, позволяя распространять различные типы вредоносного программного обеспечения по подписке.

Анализ показал, что полезная нагрузка, доставляемая через фальшивую CAPTCHA на сайте Gizmodo, была сегментирована в зависимости от операционной системы жертвы. На устройствах под управлением Windows осуществлялась попытка установки NetSupport RAT. Этот инструмент представляет собой злоупотребление функционалом легитимного программного пакета для удалённого администрирования NetSupport Manager, предоставляя операторам полный контроль над инфицированной системой. Для пользователей macOS также была подготовлена вредоносная нагрузка, однако она оказалась нефункциональной. По имеющимся данным, исполняемый файл был некорректно упакован в защищённый паролем ZIP-архив, что сделало его извлечение невозможным.

Официальные представители Gizmodo подтвердили факт инцидента, заявив, что мошеннический контент был доступен аудитории лишь в течение ограниченного периода времени, исчисляемого несколькими часами.

В ответ на обнаруженную угрозу команда специалистов Gizmodo предприняла немедленные меры реагирования: временно приостановила работу сайта для локализации проблемы, полностью удалила внедрённый скрипт и приняла комплекс мер по усилению безопасности скомпрометированного аккаунта для предотвращения повторных инцидентов.