Один из сотрудников компании искал в поисковике вполне безобидную вещь — «florida 2025 IDTF facility». Кликнул на легитимный сайт, работавший на WordPress. И запустил цепочку событий, которая привела к установке полноценного трояна удалённого доступа на его рабочую машину. Сайт оказался скомпрометирован группировкой KongTuke, и вместо нормальной страницы пользователь увидел поддельную CAPTCHA.
Эта техника называется ClickFix. Злоумышленники внедряют вредоносный JavaScript в страницы взломанных WordPress-сайтов. Когда жертва заходит на такую страницу, скрипт обращается к эндпоинту Cloudflare, чтобы определить IP-адрес и браузер пользователя, а затем отправляет эту информацию обратно на свой сервер. В конкретном случае активный скрипт располагался по адресу
После того как пользователь видит фальшивую CAPTCHA или предупреждение о проверке, содержимое страницы генерируется динамически через
Следующий этап — доставка полезной нагрузки. С сервера приходит блок данных в формате CharCode, зашифрованный ROT-шифром, который расшифровывается прямо в памяти. Результатом становится PowerShell-скрипт, который сохраняется как
Примечательно, что KongTuke нацелена именно на корпоративные среды. Вредонос
Перед началом работы вредонос проверяет список запущенных процессов на предмет инструментов анализа. Если обнаружены Wireshark, Procmon, Process Hacker, x64dbg, OllyDbg, IDA, Ghidra, Fiddler, Sysmon или признаки виртуальных машин VMware и VirtualBox — скрипт немедленно завершает работу. Это стандартная, но достаточно обширная антиотладочная проверка, которая усложняет исследование образца в лабораторных условиях.
Связь с командным сервером организована через HTTP POST на
В апреле 2025 года исследователи связали конкретные внедрённые JavaScript-файлы с активностью KongTuke, отметив совпадения в инфраструктуре — соглашениях об именовании и автономных системах. А в январе 2026 года специалисты Huntress описали новую технику первоначального доступа этой группировки — CrashFix. Вместо фальшивой CAPTCHA пользователю показывается предупреждение о сбое браузера, и ему предлагают установить «исправленное» расширение для Chrome, которое на деле оказывется вредоносным. В том же январском отчёте была задокументирована точная PowerShell-команда из цепочки заражения через поддельную CAPTCHA. Итоговый вредонос, устанавливаемый в обоих случаях, — modeloRAT, написанный на Python.
Для обнаружения этой угрозы платформа TrendAI Vision One предлагает поисковые запросы: для детектирования самого modeloRAT —
Для защиты от подобных атак необходимо своевременно обновлять ядро WordPress, темы и плагины, отключать неиспользуемые плагины. На стороне конечных точек нужно настроить оповещения на подозрительную активность командной строки, закодированные PowerShell-команды, аномальные связи родительских и дочерних процессов, нетипичные исходящие соединения. И, наверное, самое простое, но самое сложное в исполнении: объяснить сотрудникам, что ни один настоящий сайт никогда не попросит их вручную копировать и вставлять команды, чтобы «пройти проверку» или «исправить ошибку браузера».
Изображение носит иллюстративный характер
Эта техника называется ClickFix. Злоумышленники внедряют вредоносный JavaScript в страницы взломанных WordPress-сайтов. Когда жертва заходит на такую страницу, скрипт обращается к эндпоинту Cloudflare, чтобы определить IP-адрес и браузер пользователя, а затем отправляет эту информацию обратно на свой сервер. В конкретном случае активный скрипт располагался по адресу
[.]com/6o0jk.js на IP 162.33.178[.]171 (AS399629, BL Networks). Были обнаружены и более ранние, уже неактивные варианты — скрипты на доменах ainttby[.]com и ctpsih[.]com. Если зайти на домен foodgefy[.]com напрямую, сервер просто возвращает строку «It works». После того как пользователь видит фальшивую CAPTCHA или предупреждение о проверке, содержимое страницы генерируется динамически через
document.write(). Жертву просят открыть диалог «Выполнить» (Run) в Windows и вставить содержимое буфера обмена. Это содержимое передаётся в explorer.exe, который запускает скрытую командную строку. Дальше происходит довольно изобретательная вещь: стандартная утилита Windows finger.exe копируется во временную папку под именем ct.exe. Этот переименованный файл устанавливает соединение с внешним IP-адресом 45.61.138[.]224, что, по сути, даёт атакующим возможность удалённого выполнения команд на машине жертвы. Следующий этап — доставка полезной нагрузки. С сервера приходит блок данных в формате CharCode, зашифрованный ROT-шифром, который расшифровывается прямо в памяти. Результатом становится PowerShell-скрипт, который сохраняется как
%AppData%\script.ps1, исполняется и тут же удаляется. Этот скрипт через Invoke-WebRequest скачивает из Dropbox ZIP-архив с портативной средой Python — WPy64-31401 (Winpython). Архив распаковывается, и через pythonw.exe (без видимого окна) запускается вредоносный скрипт modes.py. Кроме того, с другого Dropbox-линка загружается дополнительный модуль extentions.py. Вся эта конструкция — классический пример подхода «Living off the Land», когда атакующие используют легитимные инструменты и доверенные сервисы, чтобы не привлекать внимания средств защиты. Примечательно, что KongTuke нацелена именно на корпоративные среды. Вредонос
modes.py проверяет через systeminfo, принадлежит ли машина к домену Active Directory или находится в WORKGROUP. Кроме того, через WMI-запрос Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct перечисляются установленные антивирусные продукты. Скрипт собирает сетевые конфигурации, активные TCP-соединения, запущенные процессы, информацию о системе, привилегиях и файловой структуре. Всё упаковывается в JSON. Перед началом работы вредонос проверяет список запущенных процессов на предмет инструментов анализа. Если обнаружены Wireshark, Procmon, Process Hacker, x64dbg, OllyDbg, IDA, Ghidra, Fiddler, Sysmon или признаки виртуальных машин VMware и VirtualBox — скрипт немедленно завершает работу. Это стандартная, но достаточно обширная антиотладочная проверка, которая усложняет исследование образца в лабораторных условиях.
Связь с командным сервером организована через HTTP POST на
[.]224/n. В теле запроса передаются идентификаторы кампании (варианты ABCD111n$ или BCDA222n$) и названия обнаруженных антивирусных продуктов. Через pythonw.exe устанавливаются исходящие соединения с IP-адресами 158.247.252.178:80 и 170.168.103.208:80. Зафиксировано также HTTPS-подключение к 149.154.164.13, который относится к инфраструктуре Telegram. Для закрепления в системе создаётся запланированная задача с названием «SoftwareProtection», которая срабатывает каждые 5 минут и запускает run.exe с аргументом udp.pyw из директории AppData\Local\Microsoft\Windows\SoftwareProtectionPlatform. Оба файла — udp.pyw и run.pyw — многослойно обфусцированы, причём run.pyw загружает Python-байткод через модуль marshal и содержит строки, связанные с криптографией, base64, XOR-дешифровкой и системным управлением. В апреле 2025 года исследователи связали конкретные внедрённые JavaScript-файлы с активностью KongTuke, отметив совпадения в инфраструктуре — соглашениях об именовании и автономных системах. А в январе 2026 года специалисты Huntress описали новую технику первоначального доступа этой группировки — CrashFix. Вместо фальшивой CAPTCHA пользователю показывается предупреждение о сбое браузера, и ему предлагают установить «исправленное» расширение для Chrome, которое на деле оказывется вредоносным. В том же январском отчёте была задокументирована точная PowerShell-команда из цепочки заражения через поддельную CAPTCHA. Итоговый вредонос, устанавливаемый в обоих случаях, — modeloRAT, написанный на Python.
Для обнаружения этой угрозы платформа TrendAI Vision One предлагает поисковые запросы: для детектирования самого modeloRAT —
malName:MODELORAT AND eventName:MALWARE_DETECTION AND LogType: detection, а для отслеживания создания подозрительной запланированной задачи — запрос, фильтрующий события создания задачи SoftwareProtection через процесс services.exe. Для защиты от подобных атак необходимо своевременно обновлять ядро WordPress, темы и плагины, отключать неиспользуемые плагины. На стороне конечных точек нужно настроить оповещения на подозрительную активность командной строки, закодированные PowerShell-команды, аномальные связи родительских и дочерних процессов, нетипичные исходящие соединения. И, наверное, самое простое, но самое сложное в исполнении: объяснить сотрудникам, что ни один настоящий сайт никогда не попросит их вручную копировать и вставлять команды, чтобы «пройти проверку» или «исправить ошибку браузера».
