В начале этого месяца эксперты обнаружили сложную киберпреступную кампанию под названием ClickFix, которая активно компрометирует легитимные веб-сайты в различных отраслях. Главная цель злоумышленников заключается в скрытом распространении недавно обнаруженного и ранее не задокументированного кастомного трояна удаленного доступа (RAT), получившего название MIMICRAT, также известного как AstarionRAT. Исследователи подозревают, что конечной задачей этой масштабной операции является развертывание программ-вымогателей или кража конфиденциальных данных.
Детальный отчет об угрозе был опубликован в пятницу компанией Elastic Security Labs, специализирующейся на корпоративном поиске и кибербезопасности. В ходе исследования специалист по безопасности Салим Битам (Salim Bitam) подробно описал многоэтапную цепочку заражения, в то время как другая организация, Huntress, задокументировала связанную с ней аналогичную кампанию ClickFix. Эксперты установили, что данная атака имеет прямые тактические и инфраструктурные пересечения с кампанией, использующей загрузчик Matanbuchus 3.0.
География атак крайне широка и носит оппортунистический характер, охватывая пользователей в разных точках мира. В число достоверно известных жертв уже вошел базирующийся в США университет, а также множество китайскоязычных пользователей, что подтверждается недавними обсуждениями на публичных профильных форумах. Чтобы максимизировать охват и эффективность социальной инженерии, вредоносная страница динамически поддерживает 17 различных языков, адаптируясь под локальные настройки браузера жертвы.
В качестве конкретного примера первоначальной компрометации эксперты выделили легитимный сервис валидации банковских идентификационных номеров (BIN) — сайт
Скрипт PHP отвечает за создание ключевого элемента социальной инженерии (приманки), отображая на экране пользователя убедительную, но фальшивую страницу проверки безопасности Cloudflare. Эта страница дает инструкции, требующие от жертвы скопировать предложенную команду и вставить её непосредственно в диалоговое окно Windows Run. Такой метод заставляет самого пользователя инициировать заражение, обходя базовые защитные механизмы операционной системы.
Скопированная и вставленная жертвой команда мгновенно выполняет код PowerShell первого этапа, который связывается с сервером управления и контроля (C2). Сразу после этого с сервера скачивается скрипт PowerShell второго этапа, выполняющий критически важную функцию уклонения от обнаружения. Этот скрипт вносит изменения в систему, успешно обходя ведение журнала событий Windows (ETW) и блокируя сканирование антивирусным интерфейсом AMSI.
После нейтрализации систем мониторинга развертывается загрузчик, написанный на скриптовом языке Lua. Этот файл выполняет расшифровку шелл-кода и запускает его непосредственно в оперативной памяти компьютера. Именно этот скрытый шелл-код осуществляет финальную доставку и запуск базового тела трояна MIMICRAT, который написан на языке C++.
Установленный в системе MIMICRAT обладает широким арсеналом из 22 специфических команд (иногда обобщенно упоминаемых исследователями как «два десятка»). Среди его ключевых вредоносных возможностей выделяются подмена токенов Windows (манипулирование токенами), туннелирование трафика через SOCKS5-прокси, полный контроль над запущенными процессами и файловой системой, а также внедрение новых шелл-кодов и прямой доступ к интерактивной оболочке.
Для поддержания устойчивой и незаметной связи с серверами управления троян тщательно маскирует свои коммуникации. Он использует профили HTTP, которые визуально имитируют легитимный трафик систем веб-аналитики, обмениваясь данными по зашифрованному протоколу HTTPS через стандартный порт 443. Это позволяет вредоносному ПО эффективно сливаться с обычным потоком данных в сетях жертв и оставаться незамеченным длительное время.
Изображение носит иллюстративный характер
Детальный отчет об угрозе был опубликован в пятницу компанией Elastic Security Labs, специализирующейся на корпоративном поиске и кибербезопасности. В ходе исследования специалист по безопасности Салим Битам (Salim Bitam) подробно описал многоэтапную цепочку заражения, в то время как другая организация, Huntress, задокументировала связанную с ней аналогичную кампанию ClickFix. Эксперты установили, что данная атака имеет прямые тактические и инфраструктурные пересечения с кампанией, использующей загрузчик Matanbuchus 3.0.
География атак крайне широка и носит оппортунистический характер, охватывая пользователей в разных точках мира. В число достоверно известных жертв уже вошел базирующийся в США университет, а также множество китайскоязычных пользователей, что подтверждается недавними обсуждениями на публичных профильных форумах. Чтобы максимизировать охват и эффективность социальной инженерии, вредоносная страница динамически поддерживает 17 различных языков, адаптируясь под локальные настройки браузера жертвы.
В качестве конкретного примера первоначальной компрометации эксперты выделили легитимный сервис валидации банковских идентификационных номеров (BIN) — сайт
bincheck[.]io. На первом этапе атаки злоумышленники взламывают целевой ресурс и внедряют в его структуру вредоносный код на языке JavaScript. Этот стартовый скрипт инициирует удаленную загрузку внешнего скрипта, написанного на PHP. Скрипт PHP отвечает за создание ключевого элемента социальной инженерии (приманки), отображая на экране пользователя убедительную, но фальшивую страницу проверки безопасности Cloudflare. Эта страница дает инструкции, требующие от жертвы скопировать предложенную команду и вставить её непосредственно в диалоговое окно Windows Run. Такой метод заставляет самого пользователя инициировать заражение, обходя базовые защитные механизмы операционной системы.
Скопированная и вставленная жертвой команда мгновенно выполняет код PowerShell первого этапа, который связывается с сервером управления и контроля (C2). Сразу после этого с сервера скачивается скрипт PowerShell второго этапа, выполняющий критически важную функцию уклонения от обнаружения. Этот скрипт вносит изменения в систему, успешно обходя ведение журнала событий Windows (ETW) и блокируя сканирование антивирусным интерфейсом AMSI.
После нейтрализации систем мониторинга развертывается загрузчик, написанный на скриптовом языке Lua. Этот файл выполняет расшифровку шелл-кода и запускает его непосредственно в оперативной памяти компьютера. Именно этот скрытый шелл-код осуществляет финальную доставку и запуск базового тела трояна MIMICRAT, который написан на языке C++.
Установленный в системе MIMICRAT обладает широким арсеналом из 22 специфических команд (иногда обобщенно упоминаемых исследователями как «два десятка»). Среди его ключевых вредоносных возможностей выделяются подмена токенов Windows (манипулирование токенами), туннелирование трафика через SOCKS5-прокси, полный контроль над запущенными процессами и файловой системой, а также внедрение новых шелл-кодов и прямой доступ к интерактивной оболочке.
Для поддержания устойчивой и незаметной связи с серверами управления троян тщательно маскирует свои коммуникации. Он использует профили HTTP, которые визуально имитируют легитимный трафик систем веб-аналитики, обмениваясь данными по зашифрованному протоколу HTTPS через стандартный порт 443. Это позволяет вредоносному ПО эффективно сливаться с обычным потоком данных в сетях жертв и оставаться незамеченным длительное время.
