СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

ClickFix атакует WordPress и крадет данные через Vidar Stealer

Австралийский центр кибербезопасности (ACSC) сообщил о продолжающейся кампании ClickFix, в рамках которой злоумышленники используют скомпрометированные сайты на платформе WordPress для распространения Vidar Stealer. По данным специалистов, атака в первую очередь нацелена на австралийскую инфраструктуру в различных секторах и активно использует элементы социальной инженерии.

Главная особенность кампании — применение поддельных CAPTCHA, которые убеждают пользователей самостоятельно запускать вредоносные скрипты. В результате на системе жертвы устанавливается вредоносное ПО, предназначенное для кражи конфиденциальных данных.

Как работает ClickFix

Исследование ACSC показывает, что активность ClickFix продолжается с начала 2024 года и со временем эволюционировала. В ряде инцидентов, по данным центра, злоумышленники использовали инфраструктуру легитимных австралийских компаний, что осложняет выявление атаки на ранней стадии.

Операционная схема выглядит следующим образом:

  • злоумышленники внедряют вредоносный домен в скомпрометированный веб-сайт;
  • на страницу загружается JavaScript-код, который изменяет контент, видимый пользователю;
  • скрипт вызывает обманный запрос на проверку Cloudflare;
  • после взаимодействия пользователю предлагается запустить как administrator скрытую команду PowerShell, уже скопированную в буфер обмена;
  • эта команда загружает и выполняет Vidar Stealer.

Таким образом, заражение происходит не только за счет технической эксплуатации уязвимости, но и за счет целенаправленного манипулирования действиями пользователя.

Что делает Vidar Stealer

Vidar Stealer ориентирован на кражу чувствительной информации в системах под управлением Windows. В числе целевых данных:

  • учетные данные;
  • данные браузеров;
  • криптокошельки.

ACSC отмечает, что вредоносное ПО использует техники уклонения от обнаружения. В частности, Vidar способен самоуничтожать исходный исполняемый файл, сохраняя при этом работоспособность и не оставляя явных следов в файловой системе.

Кроме того, стиллер устанавливает регулярные каналы управления C2 через URL-адреса мертвых дропов, часто используя такие платформы, как Telegram и Steam, для сокрытия деталей соединения. Украденные данные передаются злоумышленникам через HTTP/S POST-запросы, что позволяет смешивать вредоносный трафик с обычным сетевым обменом и затрудняет обнаружение.

Связь с MITRE ATT&CK

Инциденты, связанные с ClickFix, коррелируют с рядом техник из фреймворка MITRE ATT&CK. Среди них:

  • использование скомпрометированной инфраструктуры для атак;
  • эксплуатация Web Services;
  • выполнение команд PowerShell для развертывания ВПО;
  • применение тактик социальной инженерии, основанных на действиях пользователя.

Рекомендации по защите

Для снижения рисков, связанных с ClickFix и Vidar Stealer, ACSC рекомендует комплекс мер безопасности. Среди ключевых мер:

  • ограничение выполнения несанкционированных приложений и скриптов;
  • регулярное обновление WordPress и его компонентов;
  • внедрение стратегий усиления защиты пользовательских приложений;
  • использование multifactor authentication для снижения последствий кражи учетных данных;
  • регулярное резервное копирование для восстановления данных после возможного заражения.

Дополнительно центр подчеркивает важность строгих сетевых и DNS-контролей, а также ограничений PowerShell и стратегий предотвращения утечек данных. Эти меры, по оценке ACSC, могут существенно укрепить защиту от подобных угроз.

Ключевой фактор — осведомленность пользователей

ACSC отдельно указывает, что повышение осведомленности пользователей о тактиках социальной инженерии и потенциальных методах доставки ВПО играет решающую роль в предотвращении успешных атак. В случае ClickFix именно пользовательское действие становится триггером, который превращает скомпрометированный сайт в канал доставки вредоносного кода.

Иными словами, техническая защита должна дополняться внимательностью пользователей — без этого даже хорошо защищенная инфраструктура может оказаться уязвимой перед хорошо выстроенной схемой обмана.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: