Поделиться
Для атак на российские компании стали использовать поддельную CAPTCHA
В мае 2025 г. специалисты Bi.Zone Threat Intelligence зафиксировали не менее двух кампаний, в ходе которых злоумышленники использовали технику ClickFix против российских организаций. Маскируясь под силовые ведомства, злоумышленники направляли жертве документ в формате PDF. Об этом CNews сообщили представители Bi.Zone.
Текст внутри был размыт так, чтобы прочитать его было невозможно. Чтобы получить доступ к файлу, пользователю предлагали подтвердить, что он не робот. На самом деле нажатие на кнопку перенаправляло жертву на сайт злоумышленников, где пользователь снова видел окно с поддельной CAPTCHA. Кликнув «Я не робот», пользователь незаметно для себя копировал в буфер обмена PowerShell-сценарий.
Далее жертву просили выполнить на своем устройстве ряд команд — якобы для того, чтобы подтвердить право на доступ к документу и корректно открыть его. На самом деле эти команды запускали вредоносный код, скопированный при нажатии CAPTCHA: сочетание клавиш Win + R открывало окно Run для быстрого запуска программ, Ctrl + V вставляло в это окно скрипт из буфера обмена, а нажатие Enter запускало его.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: Техника ClickFix получила такое название, потому что злоумышленники предлагают пользователю выполнить ряд простых действий, чтобы исправить какую-либо техническую проблему. По сути, жертву убеждают выполнить вредоносную команду самостоятельно. Технику ClickFix атакующие используют с весны 2024 г., однако против компаний из России и других стран СНГ она применяется впервые. Злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии, которые сложнее распознать».
Скрипт, запущенный пользователем, скачивал с сервера злоумышленников изображение в формате PNG и извлекал из него вредоносную программу — загрузчик Octowave Loader.
Octowave Loader включал в себя несколько компонентов, в том числе множество легитимных файлов, среди которых прятались несколько вредоносных. В одном из них методами стеганографии был скрыт исполняемый код, который в конечном счете запускал на устройстве пользователя еще одну вредоносную программу — ранее не классифицированный и не описанный никем из исследователей троян удаленного доступа (RAT). Скорее всего, он был разработан атакующими самостоятельно.
Обнаруженный RAT сначала отправлял злоумышленникам базовую информацию о скомпрометированной системе (имя пользователя, его права, версия ОС и т. д.), а затем предоставлял им возможность выполнять на устройстве жертвы различные команды и запускать процессы. Такая длинная цепочка атаки с использованием стеганографии нацелена на то, чтобы обойти средства защиты информации и повысить шансы на успешную компрометацию целевой системы.
В качестве PNG-файла — носителя вредоносного кода злоумышленники использовали мемы политического содержания. Однако жертва не видела содержимое картинки, поскольку файл скачивался незаметно для пользователя и не открывался для просмотра.
Использование злоумышленниками RAT собственной разработки может с высокой вероятностью указывать на то, что целью данных атак был шпионаж. Об этом же косвенно свидетельствует то, что преступники маскировали фишинговые письма под коммуникацию от силовых ведомств — такой почерк наиболее характерен именно для шпионских кластеров активности.
В обеих кампаниях атаки начинались с фишинговых писем. Для фильтрации нежелательных писем необходимо использовать специализированные сервисы защиты почты. А отследить подозрительную активность, в том числе связанную с запуском PowerShell, помогут решения класса endpoint detection and response. Они позволяют отследить атаку на ранней стадии и затем оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности.
Злоумышленники постоянно меняют подходы и инструменты, которые используют для совершения атак. Актуальную информацию о ландшафте угроз аккумулируют в себе решения киберразведки. Эти данные помогают проактивно защитить компанию и ускорить реагирование на киберинциденты.
Короткая ссылка
