Фейковый сайт имитирует официальный ресурс India Post и используется для распространения вредоносного ПО, нацеленное на пользователей Windows и Android в Индии. Исследование, проведённое компанией CYFIRMA, связывает кампанию с группой APT36, также известной как Transparent Tribe, имеющей связи с Пакистаном.
При обращении с компьютера на базе Windows пользователям предлагается скачать PDF-документ, содержащий инструкцию, известную как «ClickFix». Пользователи видят подсказку нажать сочетание клавиш Win+R, чтобы открыть диалоговую форму, после чего им предлагается вставить предоставленный PowerShell-команда, что потенциально приводит к компрометации системы.
EXIF-анализ PDF документа выявил дату создания 23 октября 2024 года и имя автора «PMYLS», что, вероятно, является ссылкой на пакистанскую инициативу Prime Minister Youth Laptop Scheme. Эти данные указывают на целенаправленную атаку с использованием тщательно спланированных методов.
Злоумышленники зарегистрировали домен 20 ноября 2024 года, что свидетельствует о периодичном обновлении активности кампании. Дополнительно, предоставленный PowerShell-скрипт рассчитан на скачивание следующего уровня вредоносного ПО с удалённого сервера по IP-адресу 88.222.245.211, который на данный момент неактивен.
При посещении сайта с мобильного устройства Android пользователям предлагается установить мобильное приложение с названием indiapost.apk для «улучшения опыта работы». Приложение запрашивает обширный список разрешений, позволяющих собирать контакты, текущую геолокацию и файлы из внешнего хранилища.
Особенность APK-файла заключается в маскировке: иконка приложения изменяется на неподозрительную, имитирующую стандартный логотип Google Accounts, что затрудняет его обнаружение и удаление. Отказ в предоставлении каких-либо разрешений вынуждает приложение требовать их обязательное принятие, при этом оно продолжает работать в фоновом режиме даже после перезагрузки устройства и игнорирует оптимизацию батареи.
Техника «ClickFix» всё чаще используется кибермошенниками, APT-группами и другими злоумышленниками, демонстрируя рост угрозы для как рядовых пользователей, так и специалистов в области ИТ-безопасности. Многоуровневый подход, охватывающий как компьютерные системы, так и мобильные устройства, подчёркивает сложность и высокую организованность атаки, требующей повышенной бдительности со стороны пользователей.
Изображение носит иллюстративный характер
При обращении с компьютера на базе Windows пользователям предлагается скачать PDF-документ, содержащий инструкцию, известную как «ClickFix». Пользователи видят подсказку нажать сочетание клавиш Win+R, чтобы открыть диалоговую форму, после чего им предлагается вставить предоставленный PowerShell-команда, что потенциально приводит к компрометации системы.
EXIF-анализ PDF документа выявил дату создания 23 октября 2024 года и имя автора «PMYLS», что, вероятно, является ссылкой на пакистанскую инициативу Prime Minister Youth Laptop Scheme. Эти данные указывают на целенаправленную атаку с использованием тщательно спланированных методов.
Злоумышленники зарегистрировали домен 20 ноября 2024 года, что свидетельствует о периодичном обновлении активности кампании. Дополнительно, предоставленный PowerShell-скрипт рассчитан на скачивание следующего уровня вредоносного ПО с удалённого сервера по IP-адресу 88.222.245.211, который на данный момент неактивен.
При посещении сайта с мобильного устройства Android пользователям предлагается установить мобильное приложение с названием indiapost.apk для «улучшения опыта работы». Приложение запрашивает обширный список разрешений, позволяющих собирать контакты, текущую геолокацию и файлы из внешнего хранилища.
Особенность APK-файла заключается в маскировке: иконка приложения изменяется на неподозрительную, имитирующую стандартный логотип Google Accounts, что затрудняет его обнаружение и удаление. Отказ в предоставлении каких-либо разрешений вынуждает приложение требовать их обязательное принятие, при этом оно продолжает работать в фоновом режиме даже после перезагрузки устройства и игнорирует оптимизацию батареи.
Техника «ClickFix» всё чаще используется кибермошенниками, APT-группами и другими злоумышленниками, демонстрируя рост угрозы для как рядовых пользователей, так и специалистов в области ИТ-безопасности. Многоуровневый подход, охватывающий как компьютерные системы, так и мобильные устройства, подчёркивает сложность и высокую организованность атаки, требующей повышенной бдительности со стороны пользователей.
