17/07/24
Эксперты из компании McAfee обнаружили новый метод распространения вредоносного ПО, который получил название «Clickfix». Злоумышленники используют его для заманивания пользователей на вредоносные сайты и обманом вынуждая к установке вредоносных скриптов.
Злоумышленники тщательно маскируют заражённые сайты под настоящие, повышая вероятность того, что пользователь выполнит предложенные действия. Выполняемый алгоритм зачастую связан с «починкой» того или иного системного элемента Windows, чтобы стало возможным, например, просмотреть важный для пользователя документ или вложение, пишет Securitylab.
После вставки и выполнения скрипта в PowerShell, вредоносное ПО проникает в систему, что может привести к краже данных, компрометации системы или дальнейшему распространению вредоносного ПО.
Исследователи McAfee Labs обнаружили, что такие вредоносные программы, как DarkGate и Lumma Stealer, уже используют технику «Clickfix» для распространения. В ходе исследования специалистами был обнаружен один из способов заражения пользователей — фишинговый email с HTML-вложением, замаскированным под документ Microsoft Word.
При открытии файла пользователю показывается поддельное сообщение об ошибке, предлагающее установить несуществующее браузерное расширение Word Online.
После нажатия кнопки «How to fix», вредоносный код автоматически копируется в буфер обмена, а пользователю предлагается вручную выполнить его, для чего требуется нажать комбинацию клавиш Win+R, вставить код из буфера туда и нажать Enter.
При этом стоит отметить, что внутри самой HTML-страницы из письма данный PowerShell-код обфусцирован, что делает невозможным его обнаружение базовыми средствами защиты Windows или почтовыми фильтрами.
После выполнения PowerShell-скрипт загружает и выполняет HTA-файл с удалённого сервера, что запускает вредоносные действия на системе жертвы. А именно: на диске C создаётся папка, куда помещается AutoIt-скрипт. Запуск скрипта происходит в автоматическом режиме, после чего вредоносное ПО связывается с командным сервером для получения дальнейших инструкций.
DarkGate, используемый в атаках «Clickfix», — это продвинутое вредоносное ПО, которое может красть конфиденциальную информацию, предоставлять удалённый доступ и создавать устойчивые бэкдоры в заражённых системах. Оно использует продвинутые методы уклонения и может распространяться внутри сетей, представляя значительную угрозу кибербезопасности. Вредонос Lumma Stealer сейчас часто распространяется по такому же принципу.
Используя base64-закодированные скрипты и фальшивые сообщения об ошибках, злоумышленники обманывают пользователей, заставляя их самостоятельно выполнять вредоносные команды PowerShell.
