В начале 2024 года была обнаружена новая кампания по распространению вредоносного ПО, получившая название ClickFix. Ее основа — социальная инженерия, при которой пользователей обманом заставляют выполнить вредоносную команду под видом прохождения CAPTCHA-проверки или устранения несуществующей системной ошибки. Ключевое новшество этой тактики заключается в том, что на начальном этапе атаки не требуется загрузка исполняемых файлов, что делает ее значительно более скрытной по сравнению с предшественниками.
Для направления пользователей на мошеннические страницы злоумышленники используют разнообразные методы. В их арсенал входят фишинговые электронные письма, скрытые загрузки (drive-by downloads), вредоносная реклама (malvertising) и отравление поисковой выдачи (SEO poisoning). Такой многовекторный подход обеспечивает кампании широкий охват потенциальных жертв.
Оказавшись на целевой странице, пользователь видит поддельное сообщение об ошибке или окно, имитирующее стандартную CAPTCHA-проверку. Формулировки этих сообщений постоянно совершенствуются и часто апеллируют к чувству срочности или подозрительности. Этот психологический прием эксплуатирует естественное желание пользователя быстро решить проблему, заставляя его выполнять предписанные действия без должной проверки.
Под видом шага для верификации или исправления ошибки жертве предлагается скопировать и запустить специальную команду. Именно это действие запускает многоступенчатую последовательность выполнения вредоносного кода. Конечная цель кампании ClickFix — доставка на устройство различных типов вредоносных программ, включая стилеры для кражи данных, трояны удаленного доступа (RAT) и загрузчики для последующих атак.
Кампания ClickFix стала эволюционным развитием аферы с поддельными обновлениями браузера, которая была широко распространена в 2023 году. Ее самым известным представителем являлась кампания ClearFake. Злоумышленники, стоящие за ClearFake, использовали взломанные сайты на WordPress для демонстрации всплывающих окон с предложением обновить браузер, что в итоге приводило к установке стилеров.
Для сокрытия своих вредоносных нагрузок операторы ClearFake применяли продвинутую технику под названием EtherHiding. Этот метод использовал смарт-контракты в сети Binance Smart Chain (BSC) для маскировки вредоносного кода, что значительно усложняло его обнаружение защитными решениями.
Несмотря на технологическую изощренность ClearFake, кампания ClickFix быстро превзошла и полностью вытеснила ее. Это произошло благодаря тому, что ClickFix является более скрытой мутацией, которая подверглась постоянному совершенствованию в методах распространения, обмана и уклонения от обнаружения.
Одним из ключевых факторов успеха ClickFix является злоупотребление доверенной инфраструктурой. Для размещения поддельных CAPTCHA-процессов используются сервисы Google Scripts. Это позволяет злоумышленникам действовать под прикрытием доверенного домена Google, снижая бдительность пользователей и антивирусных систем.
Для маскировки вредоносной нагрузки используются и другие технические ухищрения. Код встраивается в файлы с легитимными названиями, например,
Масштаб и эффективность кампании привели к настоящей волне заражений, варьирующихся от массовых атак типа drive-by до гиперцелевого фишинга. Исследовательская организация Guardio Labs, и в частности ее эксперт Шакед Чен, назвала этот феномен «CAPTCHAgeddon», ссылаясь на взрывной рост использования данной тактики.
Как сообщает издание The Hacker News, высокая эффективность ClickFix привела к ее принятию на вооружение широким кругом злоумышленников. За короткий промежуток времени эта тактика была использована в десятках кампаний, проводимых как киберпреступными группировками, так и структурами, связанными с государственными интересами.
Изображение носит иллюстративный характер
Для направления пользователей на мошеннические страницы злоумышленники используют разнообразные методы. В их арсенал входят фишинговые электронные письма, скрытые загрузки (drive-by downloads), вредоносная реклама (malvertising) и отравление поисковой выдачи (SEO poisoning). Такой многовекторный подход обеспечивает кампании широкий охват потенциальных жертв.
Оказавшись на целевой странице, пользователь видит поддельное сообщение об ошибке или окно, имитирующее стандартную CAPTCHA-проверку. Формулировки этих сообщений постоянно совершенствуются и часто апеллируют к чувству срочности или подозрительности. Этот психологический прием эксплуатирует естественное желание пользователя быстро решить проблему, заставляя его выполнять предписанные действия без должной проверки.
Под видом шага для верификации или исправления ошибки жертве предлагается скопировать и запустить специальную команду. Именно это действие запускает многоступенчатую последовательность выполнения вредоносного кода. Конечная цель кампании ClickFix — доставка на устройство различных типов вредоносных программ, включая стилеры для кражи данных, трояны удаленного доступа (RAT) и загрузчики для последующих атак.
Кампания ClickFix стала эволюционным развитием аферы с поддельными обновлениями браузера, которая была широко распространена в 2023 году. Ее самым известным представителем являлась кампания ClearFake. Злоумышленники, стоящие за ClearFake, использовали взломанные сайты на WordPress для демонстрации всплывающих окон с предложением обновить браузер, что в итоге приводило к установке стилеров.
Для сокрытия своих вредоносных нагрузок операторы ClearFake применяли продвинутую технику под названием EtherHiding. Этот метод использовал смарт-контракты в сети Binance Smart Chain (BSC) для маскировки вредоносного кода, что значительно усложняло его обнаружение защитными решениями.
Несмотря на технологическую изощренность ClearFake, кампания ClickFix быстро превзошла и полностью вытеснила ее. Это произошло благодаря тому, что ClickFix является более скрытой мутацией, которая подверглась постоянному совершенствованию в методах распространения, обмана и уклонения от обнаружения.
Одним из ключевых факторов успеха ClickFix является злоупотребление доверенной инфраструктурой. Для размещения поддельных CAPTCHA-процессов используются сервисы Google Scripts. Это позволяет злоумышленникам действовать под прикрытием доверенного домена Google, снижая бдительность пользователей и антивирусных систем.
Для маскировки вредоносной нагрузки используются и другие технические ухищрения. Код встраивается в файлы с легитимными названиями, например,
socket.io.min.js. Общий список техник уклонения включает обфускацию, динамическую загрузку, использование файлов с легитимными именами, кросс-платформенную обработку и доставку полезной нагрузки через сторонние сервисы. Масштаб и эффективность кампании привели к настоящей волне заражений, варьирующихся от массовых атак типа drive-by до гиперцелевого фишинга. Исследовательская организация Guardio Labs, и в частности ее эксперт Шакед Чен, назвала этот феномен «CAPTCHAgeddon», ссылаясь на взрывной рост использования данной тактики.
Как сообщает издание The Hacker News, высокая эффективность ClickFix привела к ее принятию на вооружение широким кругом злоумышленников. За короткий промежуток времени эта тактика была использована в десятках кампаний, проводимых как киберпреступными группировками, так и структурами, связанными с государственными интересами.
