Исследователи компании Blackpoint, Джек Патрик и Сэм Декер, обнаружили сложную кампанию кибератак, направленную на распространение похитителя информации Amatera. Злоумышленники используют комбинированный подход, объединяя методы социальной инженерии «ClickFix» (поддельные окна CAPTCHA) с эксплуатацией подписанного скрипта Microsoft App-V —
Механизм заражения начинается с того, что пользователь сталкивается с фальшивым запросом проверки CAPTCHA. Следуя инструкциям, жертва копирует вредоносную команду и вставляет её в диалоговое окно «Выполнить» (Windows Run). Вместо прямого вызова PowerShell, команда активирует легитимный Visual Basic скрипт
Для обеспечения скрытности и управления зараженными системами хакеры применяют технику Dead Drop Resolver. Загрузчик получает конфигурационные данные из общедоступных файлов Google Calendar (ICS), что позволяет злоумышленникам менять инфраструктуру без повторного заражения жертв. После обработки событий календаря промежуточные скрипты PowerShell извлекают PNG-изображения с доменов вроде
Эксплуатация
Масштаб угрозы ClickFix продолжает расти: по данным Microsoft, за последний год на этот тип атак пришлось 47% всех наблюдаемых инцидентов. На хакерских форумах конструкторы для создания подобных атак продаются по цене от 200 до 1500 долларов в месяц. Среди новых вариантов, помимо уже известных JackFix и CrashFix, появился GlitchFix. Этот вариант использует систему распределения трафика (TDS) ErrTraffic для внедрения вредоносного JavaScript, который визуально «ломает» страницы, искажая CSS, и предлагает пользователю «исправить» проблему через поддельные обновления браузера. По данным Censys, GlitchFix имеет встроенные ограничения и блокируется для запуска в странах СНГ.
Особое внимание привлекает кампания «ClearFake», нацеленная на скомпрометированные сайты WordPress. В мае 2024 года злоумышленники внедрили тактику ClickFix, а с конца августа 2025 года, по данным компании Expel, было заражено около 147 521 системы. Эта кампания использует технику EtherHiding, извлекая вредоносный код через смарт-контракты в сети Binance BNB Smart Chain, и применяет скрипт App-V для загрузки полезной нагрузки с CDN jsDelivr. Цепочка заражения включает загрузчик Emmenhtal (также известный как PEAKLIGHT), который в итоге устанавливает Lumma Stealer.
Злоумышленники также активно атакуют создателей контента в социальных сетях, используя приманку в виде получения бесплатного «значка верификации». Жертвам предлагают скопировать токены аутентификации браузера в поддельную форму и не выходить из системы в течение 24 часов. По статистике , в этой кампании, активной как минимум с сентября 2025 года, задействовано 115 веб-страниц и 8 конечных точек для эксфильтрации данных. Эксперты, включая Мартина Зугеца из Bitdefender, продолжают отслеживать эволюцию этих угроз, отмечая высокую адаптивность преступников.
SyncAppvPublishingServer.vbs. Атака нацелена преимущественно на корпоративные системы под управлением Windows 10/11 Enterprise и Education, а также Windows Server, где включена виртуализация приложений Microsoft (App-V). Примечательно, что на версиях Windows Home и Pro данный метод не срабатывает. Изображение носит иллюстративный характер
Механизм заражения начинается с того, что пользователь сталкивается с фальшивым запросом проверки CAPTCHA. Следуя инструкциям, жертва копирует вредоносную команду и вставляет её в диалоговое окно «Выполнить» (Windows Run). Вместо прямого вызова PowerShell, команда активирует легитимный Visual Basic скрипт
SyncAppvPublishingServer.vbs, который использует wscript.exe для извлечения и выполнения загрузчика из внешней сети прямо в памяти устройства. Этот метод позволяет обходить защитные системы, проксируя выполнение через доверенный компонент Windows, что классифицируется как тактика «living off the land» (использование штатных инструментов системы). Для обеспечения скрытности и управления зараженными системами хакеры применяют технику Dead Drop Resolver. Загрузчик получает конфигурационные данные из общедоступных файлов Google Calendar (ICS), что позволяет злоумышленникам менять инфраструктуру без повторного заражения жертв. После обработки событий календаря промежуточные скрипты PowerShell извлекают PNG-изображения с доменов вроде
gcdnb.pbrd[.]co или iili[.]io, используя WinINet API. Внутри этих изображений скрыт зашифрованный и сжатый вредоносный код, который затем дешифруется, распаковывается с помощью GZip и выполняется через команду Invoke-Expression, запуская шелл-код для развертывания Amatera Stealer. Эксплуатация
SyncAppvPublishingServer.vbs не является абсолютно новой тактикой: в 2022 году этот LOLBin (Living-off-the-land Binary) уже использовался группировками DarkHotel (Китай) и BlueNoroff (Северная Корея). Однако это первый зафиксированный случай применения данного скрипта в атаках типа ClickFix. Независимый исследователь Маркус Хатчинс отмечает, что продукты безопасности полагаются на доверенные приложения, и поскольку этот файл является стандартным компонентом Windows, модифицируемым только TrustedInstaller, его активность редко вызывает подозрения. Организации не могут просто заблокировать этот компонент без нарушения легитимной функциональности системы. Масштаб угрозы ClickFix продолжает расти: по данным Microsoft, за последний год на этот тип атак пришлось 47% всех наблюдаемых инцидентов. На хакерских форумах конструкторы для создания подобных атак продаются по цене от 200 до 1500 долларов в месяц. Среди новых вариантов, помимо уже известных JackFix и CrashFix, появился GlitchFix. Этот вариант использует систему распределения трафика (TDS) ErrTraffic для внедрения вредоносного JavaScript, который визуально «ломает» страницы, искажая CSS, и предлагает пользователю «исправить» проблему через поддельные обновления браузера. По данным Censys, GlitchFix имеет встроенные ограничения и блокируется для запуска в странах СНГ.
Особое внимание привлекает кампания «ClearFake», нацеленная на скомпрометированные сайты WordPress. В мае 2024 года злоумышленники внедрили тактику ClickFix, а с конца августа 2025 года, по данным компании Expel, было заражено около 147 521 системы. Эта кампания использует технику EtherHiding, извлекая вредоносный код через смарт-контракты в сети Binance BNB Smart Chain, и применяет скрипт App-V для загрузки полезной нагрузки с CDN jsDelivr. Цепочка заражения включает загрузчик Emmenhtal (также известный как PEAKLIGHT), который в итоге устанавливает Lumma Stealer.
Злоумышленники также активно атакуют создателей контента в социальных сетях, используя приманку в виде получения бесплатного «значка верификации». Жертвам предлагают скопировать токены аутентификации браузера в поддельную форму и не выходить из системы в течение 24 часов. По статистике , в этой кампании, активной как минимум с сентября 2025 года, задействовано 115 веб-страниц и 8 конечных точек для эксфильтрации данных. Эксперты, включая Мартина Зугеца из Bitdefender, продолжают отслеживать эволюцию этих угроз, отмечая высокую адаптивность преступников.
