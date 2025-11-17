Разделы

Хакеры вспомнили древнюю технологию, которая старше, чем Linux. Ее используют для взлома Windows

Хакеры стали активно использовать протокол Finger, которому не так давно исполнилось 40 лет, для взлома Windows-устройств. Сама команда старше, чем Linux, который появился в 1991 г., и первоначально применялась в Unix-системах. Ее маскируют под современные технологии безопасности, в частности, под капчу.

Мумия ожила

Киберпреступники начали применять очень старые технологии для взлома современных ПК. Как пишет Bleeping Computer, они прознали про существование команды Finger для запуска одноименного протокола и теперь используют ее в своих целях.

Этот протокол появился 40 лет назад, то есть он старше, чем Linux, который вышел в 1991 г. Первоначально она применялась в Unix-серверах, а позже перекочевал и в Windows, но был благополучно забыт на десятилетия.

Finger нужен для получения данных об имени учетной записи пользователя, сведений о расположении домашнего каталога, имени пользователя, номера телефона, времени его последнего посещения и другой базовой информации, пишет Bleeping Computer.

Хакеры стали применять Finger в атаках из серии ClickFix. Под ними подразумевается подталкивание пользователя к самостоятельному запуску вредоносного ПО, которое часто замаскировано под что-либо безобидное. Очень часто его скрывают под кнопкой прохождения капчи.

Проблема существует

На то, что хакеры увлеклись технологиями, которые существовали, когда многие из них еще родились, прямо указывают специалисты ИБ-команды MalwareHunterTeam. В ее распоряжении оказался исполняемый файл, который обращался к удаленному серверу именно через протокол Finger и передавал полученный вывод непосредственно в командную строку для выполнения.

cob6.jpg

Фото: Нейросеть MidJourney
Finger - очень старый, но все еще функционирующий протокол

В MalwareHunterTeam подчеркнули, что сервер, к которому обращался файл, уже недоступен, но отметили, что это лишь один из примеров использования Finger в атаках ClickFix.

Пользователи тоже прознали, что против них развернута новая кампания по распространению вредоносного ПО. Bleeping Computer приводит в пример сообщение пользователя Reddit под псевдонимом Primary-Loquat9023, в котором он сетует, что попался на удочку с капчей и ClickFix.

Пост Primary-Loquat9023 датирован 10 ноября 2025 г. В нем сказано, что пользователь столкнулся с поддельной капчей, которая требовала ввести запрос в командной строке для прохождения теста на робота.

Команда, которую было предложено запустить, приводила к старту finger-запроса к удаленному серверу и передавала полученный вывод через командный процессор Windows cmd.exe.

Последствия невнимательности

Команда создавала временную папку, куда копировала системный файл curl.exe под случайным именем. curl.exe – это командная утилита для передачи данных через сетевые протоколы.

Павел Перов, «Корус Консалтинг»: Платформы для управления информацией эволюционируют в системы знаний

Цифровизация

В ту же папку загружался небольшой архив, замаскированный под PDF-файл. Команда извлекала из него несколько программ на языке Python. Затем они затем запускались через pythonw.exe (исполняемый файл, связанный Python, разработан Python Software Foundation). После этого выполнялся обратный вызов на сервер злоумышленника для подтверждения выполнения, при этом пользователю на экран выводилось поддельное сообщение «Подтвердите, что вы человек».

Как пишет Bleeping Computer, содержимое архива с Python-программами явным образом указывает, что вся атака проводится с целью кражи пользовательской информации. Судя по всему, случай пользователя Primary-Loquat9023 не единичный, поскольку эксперты MalwareHunterTeam в ноябре 2025 г. выявили аналогичную атаку, но с немного другим набором действий.

В частности, загружаемое на ПК пользователя Python-ПО запускало скрипт проверки на наличие в системе утилит анализа вредоносных программ. Если такой софт выявлялся, атака автоматически прекращалась. В случае его отсутствия скрипт скачивал и распаковывал дополнительный архив, тоже замаскированный под файл PDF. В нем были пакет удаленного администрирования NetSupport Manager и скрипт настройки планировщика задач для автоматического запуска удаленного доступа.

Специалисты BleepingComputer полагают, что за атаками с использованием протокола Finger стоит одна группировка. Успех таких атак они объясняют именно древностью самой команды, про которую многие давно забыли, а большинство вообще не знали.

