Новая кибератака использует усовершенствованный вариант социальной инженерии, известный как FileFix, для распространения вредоносного программного обеспечения StealC, предназначенного для кражи информации. Согласно отчету компании Acronis, предоставленному The Hacker News, кампания использует многоязычный фишинговый сайт с высокой степенью убедительности, который применяет методы обфускации и антианалитические техники для обхода защитных систем.
Атака начинается с фишингового сообщения, в котором утверждается, что Ф⃰-аккаунт жертвы будет заблокирован через неделю из-за нарушения правил. Пользователю предлагается нажать на кнопку для подачи апелляции, что перенаправляет его на тщательно замаскированную фишинговую страницу. На этом этапе жертве сообщают, что для просмотра PDF-файла с деталями нарушения необходимо скопировать указанный «путь» и вставить его в адресную строку «Проводника» Windows.
Ключевой обман заключается в работе кнопки «Копировать». При нажатии в буфер обмена копируется не видимый текстовый путь, а полная вредоносная команда, к которой добавлены пробелы для маскировки. Когда пользователь вставляет эту строку в адресную строку «Проводника», операционная система исполняет многоступенчатый PowerShell-скрипт. Этот скрипт загружает с репозитория Bitbucket файлы, замаскированные под изображения, злоупотребляя доверием к легитимной платформе.
После загрузки «изображение» декодируется в полезную нагрузку следующего этапа. Запускается загрузчик, написанный на языке Go, который распаковывает шелл-код. Именно этот шелл-код в конечном итоге разворачивает и запускает вредоносное ПО StealC — мощный инструмент для кражи конфиденциальных данных с зараженного компьютера.
Исследователь безопасности Acronis, Элиад Кимхи, отмечает, что злоумышленники продемонстрировали значительные вложения в тактику и методы атаки. Фишинговая инфраструктура, способ доставки полезной нагрузки и вспомогательные элементы были тщательно спроектированы для максимального уклонения от обнаружения и увеличения эффективности воздействия.
Сама по себе тактика FileFix была впервые задокументирована как концепт (PoC) исследователем под псевдонимом mrd0x в июне 2025 года. Ее механизм основан на злоупотреблении функцией загрузки файлов в веб-браузере, чтобы обманом заставить пользователя выполнить команду. Преимущество для атакующих заключается в том, что эта функция широко используется и редко блокируется системными администраторами. Однако исполнение процесса из браузера с большей вероятностью может быть помечено защитными продуктами как подозрительное.
Параллельно существует другая техника под названием ClickFix. Она требует, чтобы пользователь открыл диалоговое окно «Выполнить» в Windows или «Терминал» в Apple macOS и вставил туда обфусцированную команду. Хотя диалог «Выполнить» может быть заблокирован администратором, преимущество этой техники в том, что вредоносный процесс порождается от
Компания Doppel, специализирующаяся на кибербезопасности, зафиксировала отдельную кампанию, использующую именно метод ClickFix. По словам исследователя Аарша Джавы, злоумышленники применяют приманки в виде поддельных порталов техподдержки или фальшивых страниц с ошибкой CAPTCHA от Cloudflare. Жертв убеждают запустить вредоносный PowerShell-код через взлом буфера обмена.
В этой кампании первоначальной полезной нагрузкой выступает скрипт AutoHotkey (AHK). AutoHotkey — это легитимный язык сценариев для Windows, предназначенный для автоматизации задач, но примерно с 2019 года он активно используется злоумышленниками для создания легковесных загрузчиков и стилеров. Скрипт AHK анализирует зараженную систему и доставляет на нее дополнительные вредоносные программы.
В качестве финальной полезной нагрузки AHK-скрипт может устанавливать инструменты удаленного доступа, такие как AnyDesk и TeamViewer, различные программы для кражи информации (инфостилеры) и вредоносное ПО типа «клиппер», которое подменяет адреса криптовалютных кошельков в буфере обмена.
В одном из вариантов этой атаки жертв направляли для выполнения команды MSHTA, которая обращалась к поддельному домену Google
Изображение носит иллюстративный характер
Атака начинается с фишингового сообщения, в котором утверждается, что Ф⃰-аккаунт жертвы будет заблокирован через неделю из-за нарушения правил. Пользователю предлагается нажать на кнопку для подачи апелляции, что перенаправляет его на тщательно замаскированную фишинговую страницу. На этом этапе жертве сообщают, что для просмотра PDF-файла с деталями нарушения необходимо скопировать указанный «путь» и вставить его в адресную строку «Проводника» Windows.
Ключевой обман заключается в работе кнопки «Копировать». При нажатии в буфер обмена копируется не видимый текстовый путь, а полная вредоносная команда, к которой добавлены пробелы для маскировки. Когда пользователь вставляет эту строку в адресную строку «Проводника», операционная система исполняет многоступенчатый PowerShell-скрипт. Этот скрипт загружает с репозитория Bitbucket файлы, замаскированные под изображения, злоупотребляя доверием к легитимной платформе.
После загрузки «изображение» декодируется в полезную нагрузку следующего этапа. Запускается загрузчик, написанный на языке Go, который распаковывает шелл-код. Именно этот шелл-код в конечном итоге разворачивает и запускает вредоносное ПО StealC — мощный инструмент для кражи конфиденциальных данных с зараженного компьютера.
Исследователь безопасности Acronis, Элиад Кимхи, отмечает, что злоумышленники продемонстрировали значительные вложения в тактику и методы атаки. Фишинговая инфраструктура, способ доставки полезной нагрузки и вспомогательные элементы были тщательно спроектированы для максимального уклонения от обнаружения и увеличения эффективности воздействия.
Сама по себе тактика FileFix была впервые задокументирована как концепт (PoC) исследователем под псевдонимом mrd0x в июне 2025 года. Ее механизм основан на злоупотреблении функцией загрузки файлов в веб-браузере, чтобы обманом заставить пользователя выполнить команду. Преимущество для атакующих заключается в том, что эта функция широко используется и редко блокируется системными администраторами. Однако исполнение процесса из браузера с большей вероятностью может быть помечено защитными продуктами как подозрительное.
Параллельно существует другая техника под названием ClickFix. Она требует, чтобы пользователь открыл диалоговое окно «Выполнить» в Windows или «Терминал» в Apple macOS и вставил туда обфусцированную команду. Хотя диалог «Выполнить» может быть заблокирован администратором, преимущество этой техники в том, что вредоносный процесс порождается от
Explorer.exe, что значительно усложняет его обнаружение. Компания Doppel, специализирующаяся на кибербезопасности, зафиксировала отдельную кампанию, использующую именно метод ClickFix. По словам исследователя Аарша Джавы, злоумышленники применяют приманки в виде поддельных порталов техподдержки или фальшивых страниц с ошибкой CAPTCHA от Cloudflare. Жертв убеждают запустить вредоносный PowerShell-код через взлом буфера обмена.
В этой кампании первоначальной полезной нагрузкой выступает скрипт AutoHotkey (AHK). AutoHotkey — это легитимный язык сценариев для Windows, предназначенный для автоматизации задач, но примерно с 2019 года он активно используется злоумышленниками для создания легковесных загрузчиков и стилеров. Скрипт AHK анализирует зараженную систему и доставляет на нее дополнительные вредоносные программы.
В качестве финальной полезной нагрузки AHK-скрипт может устанавливать инструменты удаленного доступа, такие как AnyDesk и TeamViewer, различные программы для кражи информации (инфостилеры) и вредоносное ПО типа «клиппер», которое подменяет адреса криптовалютных кошельков в буфере обмена.
В одном из вариантов этой атаки жертв направляли для выполнения команды MSHTA, которая обращалась к поддельному домену Google
wl.google-587262[.]com. С этого домена загружался и исполнялся удаленный вредоносный скрипт, завершая цепочку заражения.
