Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

В новых кампаниях ClickFix мошенники заманивают пользователей на поддельные страницы Google Meet

21/10/24

Затем жертвам демонстрируются фальшивые ошибки соединения для распространения вредоносного ПО, способного заражать системы на Windows и macOS.

ClickFix появился в мае, когда компания Proofpoint впервые сообщила о его использовании группой TA571. Для атак применялись фальшивые сообщения об ошибках в Google Chrome, Microsoft Word и OneDrive. Жертвам предлагалось вставить в командную строку PowerShell код для исправления якобы возникшей проблемы, что и приводило к заражению их устройств, пишет Securitylab.

Через этот метод распространялись такие вредоносные программы, как DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, Lumma Stealer и другие. В июле McAfee зафиксировала рост частоты этих атак, особенно в США и Японии.

По данным нового отчёта компании Sekoia, тактика ClickFix недавно изменилась: теперь злоумышленники используют фальшивые приглашения в Google Meet и рассылают фишинговые письма, нацеленные на транспортные и логистические компании. Среди новых уловок — поддельные страницы на Facebook и фальшивые обсуждения на GitHub.

4p5hs9c3zlq1i5otpgb4aixwvkrkrb5w

Sekoia также связывает недавние кампании с двумя группировками — Slavic Nation Empire (SNE) и Scamquerteo, которые, предположительно, входят в состав криптовалютных мошеннических групп Marko Polo и CryptoLove.

Атаки через Google Meet выглядят особенно убедительно: злоумышленники рассылают письма с поддельными ссылками, имитирующими официальные:

  • meet[.]google[.]us-join[.]com
  • meet[.]google[.]web-join[.]com
  • meet[.]googie[.]com-join[.]us

После перехода на такие страницы пользователям показывается сообщение о якобы возникшей проблеме с микрофоном или наушниками. Попытка «исправить» ошибку активирует стандартный сценарий ClickFix: через командную строку выполняется вредоносный PowerShell код, скачивающий зловред с домена «googiedrivers[.]com».

Для Windows устройств загружаются Stealc или Rhadamanthys, а на macOS устанавливается AMOS Stealer в формате «.DMG» под названием «Launcher_v194». Помимо Google Meet, злоумышленники используют и другие платформы для распространения вредоносного ПО, включая Zoom, фальшивые PDF-ридеры, поддельные видеоигры и web3-проекты.

Темы:GoogleУгрозыМошенничествоSEKOIA
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...