Атаки с ClickFix добрались до России: вредонос — в политическом меме

Атаки с ClickFix добрались до России: вредонос — в политическом меме

Атаки с ClickFix добрались до России: вредонос — в политическом меме

Около 30 российских компаний подверглись кибератакам в мае — начале июня. Это первые случаи в России, когда злоумышленники применили методику ClickFix, которая раньше использовалась только против зарубежных организаций. ClickFix — это такой приём, при котором сам пользователь по сути запускает вредоносный код, даже не подозревая об этом.

Как объясняют специалисты BI.ZONE, сначала жертве приходит письмо якобы от силового ведомства — внутри PDF-документ, но текст в нём намеренно заблюрен. Чтобы его якобы «расшифровать», просят подтвердить, что ты не робот. На деле это всего лишь приманка.

После клика по кнопке пользователя перебрасывают на ещё одну страницу с фейковой CAPTCHA. Там он снова нажимает «Я не робот» — и в этот момент незаметно копируется PowerShell-скрипт в буфер обмена. Далее жертве объясняют, что нужно ввести несколько команд на компьютере, чтобы открыть документ. И вот человек сам, шаг за шагом, запускает скрипт: Win + R, Ctrl + V, Enter — и вредонос начал свою работу.

Что происходит дальше: скрипт скачивает с удалённого сервера PNG-картинку, в которой скрыт вредоносный код. Это так называемый Octowave Loader — загрузчик, маскирующий вредоносные компоненты среди легитимных файлов. Один из файлов содержит вредонос, спрятанный с помощью стеганографии. В итоге на устройство попадает троян удалённого доступа (RAT), который раньше нигде не описывался.

Этот RAT сначала собирает базовую информацию о системе, а потом даёт атакующим полный удалённый доступ к устройству — они могут выполнять команды, запускать процессы и так далее. Причём картинку-жертва не видит: это политический мем, но он не открывается, просто используется как носитель вредоносного кода.

Исследователи предполагают, что за атакой стоит шпионская группа. Об этом говорит и использование собственного RAT, и маскировка под госорганы. Всё это характерно для кибершпионажа.

Атаки начинались с обычных фишинговых писем. Чтобы защититься от подобных сценариев, важно внимательно относиться к вложениям, особенно если в них просят что-то ввести или запустить. И, конечно, помогает отслеживание подозрительной активности — особенно запусков PowerShell и других системных компонентов.

Фишеры научились рассылать письма с настоящих адресов крупных компаний

В даркнете появилась платформа для массовых фишинговых рассылок, которая умеет подставлять в строку отправителя реальные адреса известных организаций. На экране все выглядит убедительно: знакомый домен, привычное имя компании и письмо, которое легко принять за официальное.

Инструмент работает на основе спуфинга — подмены данных отправителя. В результате жертва видит настоящий корпоративный имейл, хотя сообщение на самом деле отправили мошенники.

По данным BI.ZONE Threat Intelligence, которые передаёт газета «Известия» ,платформу уже рекламируют на теневых площадках как готовый сервис для массовых атак.

Она позволяет не только использовать чужие адреса, но и автоматически собирать изображения с официальных сайтов, чтобы копировать логотипы, фирменное оформление и стиль писем.

Это делает фишинг особенно опасным. Обычный совет «проверьте адрес отправителя» здесь уже может не сработать: домен в письме действительно будет принадлежать реальной компании.

Такие сообщения могут маскироваться под счета, уведомления службы безопасности, документы, предложения от подрядчиков или просьбы срочно подтвердить данные. Дальше всё по классике: ссылка на поддельный сайт, вредоносное вложение или попытка выманить логин, пароль и банковские реквизиты.

Эксперты предупреждают, что даже внимательному пользователю будет сложно отличить такую подделку от настоящего письма. Поэтому теперь смотреть только на строку «От кого» недостаточно. Нужно проверять ссылки, контекст запроса и любые неожиданные требования что-то скачать, оплатить или срочно ввести данные.

RSS: Новости на портале Anti-Malware.ru