Анализ ClickFix: мощная атака PowerShell через поддельную капчу

Новая вредоносная кампания ClickFix использует поддельные капчи для запуска PowerShell-атак

Эксперты по кибербезопасности выявили опасную вредоносную кампанию, ориентированную на обман пользователей с помощью поддельного всплывающего окна с капчей, известного как ClickFix. Этот прием социального инжиниринга заставляет жертв выполнять вредоносные команды PowerShell, что приводит к многоэтапному заражению системы и получению контроля злоумышленниками.

Как происходит заражение

Изначальная компрометация происходит при посещении пользователем взломанного сайта на платформе WordPress. На нем размещается JavaScript, который имитирует легитимную проверку безопасности и отображает поддельное окно с капчей. Пользователю предлагается ввести в этом диалоговом окне команду PowerShell. При этом ввод маскируется для обхода механизмов обнаружения.

Введённая команда обращается к серверу управления (C2) по адресу cmbkz8kz1000108k2carjewzf.info и запускает сложный набор вредоносных действий.

Многоступенчатый процесс заражения и скрытность атаки

• HelpIO — основная функция PowerShell-скрипта, которая работает в цикле, чтобы выполнять последовательные вредоносные операции.
• Она пытается повысить привилегии до уровня администратора и создать исключение для папки C:WindowsTemp в Windows Defender, чтобы избежать обнаружения.
• После успешного повышения прав вызываются две подфункции: Urex и ExWpL.

Urex загружает дополнительную полезную нагрузку — пакетный файл evr.bat с сервера C2, сохраняет его под именем LixPay.bat в временном каталоге и обеспечивает сохраняемость посредством создания ярлыка в папке автозагрузки Windows. Это позволяет вредоносному ПО сохраняться после перезагрузки системы.

ExWpL формирует вредоносную PowerShell-команду путем объединения строк и декодирования .NET-сборки в формате base64. Эта сборка загружается непосредственно в память с помощью техники .NET reflection, что исключает необходимость записи файлов на диск и значительно усложняет обнаружение вредоносного ПО.

Выполняемая в памяти вторичная нагрузка поддерживает постоянное соединение с сервером C2, обеспечивая злоумышленникам долговременный доступ и контроль над зараженным устройством.

Методы и последствия атаки

Данная кампания — классический пример того, как совокупность социальной инженерии и технических методов обхода защиты позволяет злоумышленникам компрометировать систему через легитимно выглядящий веб-контент. Отмечается, что этот вектор атак крайне эффективен, поскольку ориентирован на целевое вовлечение пользователя и сложность обнаружения вредоносных операций.

Эксперты подчеркивают важность комплексного подхода к защите конечных устройств (endpoint security), включая:

• Технические средства для мониторинга и предотвращения выполнения вредоносных команд PowerShell.
• Ограничение прав пользователей и контроль над выполнением скриптов.
• Повышение осведомленности пользователей о рисках и признаках поддельных всплывающих окон и подозрительных запросов.

Как отмечается в отчете, недостаточная информированность и техническая защищенность создают серьезные риски для организаций и частных пользователей, позволяя злоумышленникам использовать даже относительно простые уловки для нанесения значительного ущерба.

«Важно не только установить технические барьеры, но и обучить пользователей принципам безопасности, чтобы они могли распознавать попытки социальной инженерии», — комментируют специалисты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.