Исследователи из Threat Research Center компании Atos обнаружили новый вариант атаки типа ClickFix, который успешно проходит мимо Microsoft Defender for Endpoint. Схема на первый взгляд выглядит почти примитивно: жертва попадает на фальшивую веб-страницу с капчей, размещённую на домене happyglamper[.]ro, и получает инструкцию нажать Win + R, а затем вставить якобы проверочную команду. На деле эта команда запускает цепочку заражения, которую большинство защитных систем просто не замечают.
Прежний подход ClickFix опирался на PowerShell и MSHTA — инструменты, которые давно находятся под пристальным вниманием EDR-решений. Новый вариант сознательно отказывается от них на начальном этапе. Вместо этого используется штатная Windows-утилита
Скрипт update.cmd действует по знакомой, но хорошо замаскированной схеме. Он запускает скрытый экземпляр PowerShell (да, PowerShell всё-таки появляется, но уже на втором шаге, когда контекст выполнения не вызывает автоматических срабатываний). Скачивается архив с того же сервера, распаковывается в %LOCALAPPDATA%\MyApp и запускает приложение WorkFlowy.exe. Казалось бы, легитимная программа для организации заметок от компании FunRoutine Inc. И она действительно легитимная — просто старая. Атакующие взяли версию 1.4.1050, хотя актуальная на момент атаки — 4.3.
Почему именно WorkFlowy? Это Electron-приложение, а значит, внутри него работает полноценная среда Node.js с привилегиями текущего пользователя, причём вне песочницы Chromium. Злоумышленники внедрили вредоносный код прямо в файл main.js, спрятанный внутри архива app.asar. Это формат упаковки ресурсов в Electron-приложениях, и его почти никто не проверяет — ни антивирусы, ни поведенческие анализаторы. Вредоносный однострочник был добавлен поверх оригинального кода, так что он выполняется первым и блокирует нормальный запуск WorkFlowy.
Технически внедрённый код делает несколько вещей. При первом запуске генерируется восьмисимвольный буквенно-цифровой идентификатор жертвы, который записывается в файл %APPDATA%\id.txt. Затем каждые две секунды функция-маячок отправляет HTTP POST на сервер управления по адресу https://cloudflare[.]report/forever/e/, передавая этот идентификатор, имя машины и имя пользователя Windows. Домен cloudflare[.]report не имеет никакого отношения к настоящему Cloudflare — он зарегистрирован в январе 2026 года через регистратор OnlineNIC на гонконгского регистранта, а его реальный IP 144.31.165.173 расположен во Франкфурте (AS215439, ).
Вторая функция вредоноса ожидает задания от C2-сервера: получает закодированные в base64 файлы, записывает их в каталог %TEMP% с именем из Unix-таймстампа и запускает на выполнение любые полученные.exe через child_process.exec. По сути, заражённый WorkFlowy превращается в универсальный дроппер, способный загрузить и запустить что угодно. При этом собственного механизма закрепления в системе у него нет — маячок работает только пока открыто приложение.
Интересно, что эту атаку обнаружили не автоматические средства защиты. Microsoft Defender for Endpoint её пропустил. Обнаружение стало заслугой команды Atos Threat Hunting, которая целенаправленно анализировала ключ реестра RunMRU. Этот ключ хранит историю команд, выполненных через диалог Win + R (то есть через Explorer Run dialog). 5 марта 2026 года был создан экспериментальный запрос для охоты за угрозами (ID: 20891a30-032e-4f15-a282-fa4a8b0d8aae), отслеживающий появление в RunMRU подозрительных интерпретаторов и LOLBin-утилит: cmd, powershell, wscript, cscript, net.exe, net1.exe, schtasks, regsvr32, mshta, rundll32, msiexec и ещё ряда других. Источник данных — Sysmon Event ID 13 или эквивалентные события EDR-систем.
Среди индикаторов компрометации исследователи приводят три SHA256-хеша. Хеш a390fe045f50a0697b14160132dfa124c7f92d85c18fba07df351c2fcfc11063 соответствует вредоносному app.asar. Хеш dc95f7c7fb98ec30d3cb03963865a11d1b7b696e34f163b8de45f828b62ec829 — внедрённому main.js. Третий хеш, 9ee58eb59e337c06429ff3f0afd0ee6886b0644ddd4531305b269e97ad2b8d42, принадлежит самому WorkFlowy.exe, который сам по себе не вредоносен — это просто старая версия легитимного приложения.
Ложные срабатывания при использовании этого охотничьего запроса возможны: системные администраторы нередко используют Win + R для запуска командных оболочек и утилит в процессе штатного обслуживания. Но сам факт, что обнаружение стало возможным только через проактивную охоту за угрозами и гипотезу о злоупотреблении Run-диалогом, говорит о многом. Атакующие целенаправленно уходят от тех методов, на которые настроены автоматические правила обнаружения, и переключаются на штатные сетевые утилиты и малоизвестные форматы упаковки. Архив.asar, по сути, стал слепым пятном для индустрии защиты.
Изображение носит иллюстративный характер
Прежний подход ClickFix опирался на PowerShell и MSHTA — инструменты, которые давно находятся под пристальным вниманием EDR-решений. Новый вариант сознательно отказывается от них на начальном этапе. Вместо этого используется штатная Windows-утилита
net use, которая монтирует WebDAV-диск с внешнего сервера 94.156.170[.]255. Полная команда выглядит так: через net use создаётся сетевой диск Z:, с него запускается скрипт update.cmd, после чего диск мгновенно удаляется. Всё происходит в одну строку, всё выполняется штатными средствами ОС, и для защитных систем это больше похоже на легитимную сетевую операцию, чем на атаку. Скрипт update.cmd действует по знакомой, но хорошо замаскированной схеме. Он запускает скрытый экземпляр PowerShell (да, PowerShell всё-таки появляется, но уже на втором шаге, когда контекст выполнения не вызывает автоматических срабатываний). Скачивается архив с того же сервера, распаковывается в %LOCALAPPDATA%\MyApp и запускает приложение WorkFlowy.exe. Казалось бы, легитимная программа для организации заметок от компании FunRoutine Inc. И она действительно легитимная — просто старая. Атакующие взяли версию 1.4.1050, хотя актуальная на момент атаки — 4.3.
Почему именно WorkFlowy? Это Electron-приложение, а значит, внутри него работает полноценная среда Node.js с привилегиями текущего пользователя, причём вне песочницы Chromium. Злоумышленники внедрили вредоносный код прямо в файл main.js, спрятанный внутри архива app.asar. Это формат упаковки ресурсов в Electron-приложениях, и его почти никто не проверяет — ни антивирусы, ни поведенческие анализаторы. Вредоносный однострочник был добавлен поверх оригинального кода, так что он выполняется первым и блокирует нормальный запуск WorkFlowy.
Технически внедрённый код делает несколько вещей. При первом запуске генерируется восьмисимвольный буквенно-цифровой идентификатор жертвы, который записывается в файл %APPDATA%\id.txt. Затем каждые две секунды функция-маячок отправляет HTTP POST на сервер управления по адресу https://cloudflare[.]report/forever/e/, передавая этот идентификатор, имя машины и имя пользователя Windows. Домен cloudflare[.]report не имеет никакого отношения к настоящему Cloudflare — он зарегистрирован в январе 2026 года через регистратор OnlineNIC на гонконгского регистранта, а его реальный IP 144.31.165.173 расположен во Франкфурте (AS215439, ).
Вторая функция вредоноса ожидает задания от C2-сервера: получает закодированные в base64 файлы, записывает их в каталог %TEMP% с именем из Unix-таймстампа и запускает на выполнение любые полученные.exe через child_process.exec. По сути, заражённый WorkFlowy превращается в универсальный дроппер, способный загрузить и запустить что угодно. При этом собственного механизма закрепления в системе у него нет — маячок работает только пока открыто приложение.
Интересно, что эту атаку обнаружили не автоматические средства защиты. Microsoft Defender for Endpoint её пропустил. Обнаружение стало заслугой команды Atos Threat Hunting, которая целенаправленно анализировала ключ реестра RunMRU. Этот ключ хранит историю команд, выполненных через диалог Win + R (то есть через Explorer Run dialog). 5 марта 2026 года был создан экспериментальный запрос для охоты за угрозами (ID: 20891a30-032e-4f15-a282-fa4a8b0d8aae), отслеживающий появление в RunMRU подозрительных интерпретаторов и LOLBin-утилит: cmd, powershell, wscript, cscript, net.exe, net1.exe, schtasks, regsvr32, mshta, rundll32, msiexec и ещё ряда других. Источник данных — Sysmon Event ID 13 или эквивалентные события EDR-систем.
Среди индикаторов компрометации исследователи приводят три SHA256-хеша. Хеш a390fe045f50a0697b14160132dfa124c7f92d85c18fba07df351c2fcfc11063 соответствует вредоносному app.asar. Хеш dc95f7c7fb98ec30d3cb03963865a11d1b7b696e34f163b8de45f828b62ec829 — внедрённому main.js. Третий хеш, 9ee58eb59e337c06429ff3f0afd0ee6886b0644ddd4531305b269e97ad2b8d42, принадлежит самому WorkFlowy.exe, который сам по себе не вредоносен — это просто старая версия легитимного приложения.
Ложные срабатывания при использовании этого охотничьего запроса возможны: системные администраторы нередко используют Win + R для запуска командных оболочек и утилит в процессе штатного обслуживания. Но сам факт, что обнаружение стало возможным только через проактивную охоту за угрозами и гипотезу о злоупотреблении Run-диалогом, говорит о многом. Атакующие целенаправленно уходят от тех методов, на которые настроены автоматические правила обнаружения, и переключаются на штатные сетевые утилиты и малоизвестные форматы упаковки. Архив.asar, по сути, стал слепым пятном для индустрии защиты.
