Команда finger, когда-то предназначенная для получения сведений о пользователях на Unix- и Linux-серверах, в прошлом присутствовала и в Windows. Она возвращала имя учётной записи, домашний каталог и другую базовую информацию. Несмотря на то, что протокол до сих пор поддерживается, его применение почти сошло на нет. Однако для злоумышленников это скорее преимущество — мало кто ожидает увидеть нападение с этой стороны.
Недавние наблюдения показали, что finger начали применять в схемах, похожих на ClickFix, где команды для выполнения на устройстве подгружаются из удалённого источника. Специалисты давно отмечали, что команда может работать как вспомогательный инструмент Windows и использоваться для загрузки вредоносных данных.
Именно в новых кампаниях метод и получил развитие. Команда MalwareHunterTeam передала образец батч-файла, который обращался к удалённому серверу через finger и передавал полученный вывод непосредственно в cmd для выполнения. Домены, задействованные в этой активности, уже недоступны, однако исследователи обнаружили и другие примеры применения того же подхода.
На Reddit уже появились сообщения от первых пострадавших: в одном из обсуждений человек описал, как столкнулся с подделкой под капчу, которая требовала открыть окно запуска и ввести команду для подтверждения «человечности». Введённая строка запускала finger-запрос к другому серверу и передавала полученный вывод в Windows-интерпретатор.
В результате создалась временная директория, скопировался системный curl под случайным именем, загрузился архив, замаскированный под PDF, и распаковывался набор файлов на Python. Программа затем запустилась через pythonw.exe, после чего произошло обращение к серверу злоумышленников, а на экране отобразилась фальшивая «проверка».
Содержимое архива указывало на попытку кражи данных. Одновременно команда MalwareHunterTeam нашла и другую активность: команда finger использовалась для подгрузки почти идентичного набора команд, но с дополнительными проверками. Перед выполнением действий скрипт искал на компьютере утилиты для анализа вредоносных программ — от Process Explorer и Procmon до Wireshark, Fiddler и отладчиков. Если такие инструменты обнаруживались, выполнение прекращалось.
Когда подобных средств не находили, происходила загрузка и распаковка нового архива, также выдаваемого за документы PDF. В этот раз внутри оказался пакет удалённого администрирования NetSupport Manager. После распаковки последовательность команд настраивала планировщик заданий, чтобы при следующем входе в систему запускался удалённый доступ.
По наблюдениям BleepingComputer, все упомянутые эпизоды похожи на работу одной группы, использующей единый подход к распространению вредоносов через ClickFix-механики. При этом успех подобных уловок объясняется тем, что finger выглядит слишком архаично для подозрений. Защитникам рекомендуют закрывать исходящие подключения на TCP-порт 79, через который работает этот сетевой протокол.