СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

ClickFix атакует WordPress: Vidar, Impure и VodkaStealer

Rapid7 Labs раскрыла масштабную кампанию, в рамках которой неизвестный угрозный актор использует скомпрометированные легитимные сайты WordPress для доставки многослойного вредоносного ПО, ориентированного на кражу учётных данных и цифровых кошельков в системах Windows. Атака маскируется под Cloudflare CAPTCHA с помощью импланта ClickFix и с декабря 2025 года затронула более 250 сайтов в 12 странах.

Краткая суть

  • Цель: кража учетных данных и данных цифровых кошельков в Windows.
  • Маскировка: имплант ClickFix, подражающий Cloudflare CAPTCHA.
  • Масштаб: более 250 сайтов в 12 странах (с декабря 2025 г.).
  • Техника исполнения: преимущественно выполнение в памяти, использование незаметных Windows-процессов.

Механизм атаки — по шагам

Цепочка заражения организована так, чтобы минимизировать следы на файловой системе и затруднить анализ:

  • Пользователь посещает скомпрометированный сайт WordPress.
  • На странице запускается обфусцированный JavaScript, маскирующийся под CAPTCHA.
  • JavaScript загружает скрипт PowerShell, который запрашивает блобы shellcode с удаленного сервера.
  • Выполняется первый shellcode, затем второй — в результате доставляется полезная нагрузка (infostealer).
  • Вредоносное ПО работает преимущественно в памяти и использует легитимные процессы Windows для маскировки.

Инструментарий и полезная нагрузка

Аналитики Rapid7 идентифицировали несколько семейств и компонентов, задействованных в кампании:

  • ClickFix — обфусцированный скрипт, маскирующий инициализацию через CAPTCHA и внедряющий iframe; содержит антианализные проверки в зависимости от способа парсинга JavaScript.
  • Donut loader — открытый компонент, используемый в двухэтапной загрузке и исполнении payload, упрощающий доставку shellcode.
  • Infostealers: Vidar, Impure Stealer и новичок VodkaStealer:
    • Vidar эволюционировал: добавлены зашифрованные C2-callbacks и новые методы обфускации управления потоком.
    • Impure Stealer отличается пользовательскими сетевыми протоколами и собственными методами шифрования.
    • VodkaStealer — относительно простая реализация инфостилера без надежных функций антианализа; собирает чувствительные данные из браузеров и информацию о программном обеспечении.
  • ChromElevator — инструмент для попыток повышения привилегий; по состоянию на отчёт Rapid7, внедрение выглядит неисправным.

Почему обнаружение затруднено

Несколько особенностей кампании делают традиционные средства защиты менее эффективными:

  • Выполнение преимущественно в памяти (fileless техники), что снижает эффективность сигнатурного сканирования по файлам.
  • Широкая обфускация JavaScript и антианализные проверки, зависящие от среды парсинга.
  • Использование легитимных процессов Windows для маскировки исполнения и сетевой активности.
  • Механизм контроля частоты отображения iframe через localStorage — чтобы усложнить обнаружение и изучение инцидента.
  • Высокая степень автоматизации инфраструктуры злоумышленников при относительно низкой сложности отдельных компонентов.

Rapid7 Labs отмечает: «Социально-инженерные техники остаются крайне эффективными — даже доверенные сайты могут служить вектором доставки вредоносного ПО».

Рекомендации по смягчению риска

Rapid7 предлагает набор практических мер для владельцев сайтов WordPress и конечных пользователей:

  • Регулярно обновлять ядро WordPress, плагины и темы; устранять известные уязвимости.
  • Использовать сильные, уникальные пароли и менеджеры паролей.
  • Включить двухфакторную аутентификацию (2FA) для административных аккаунтов и пользователей с повышенными правами.
  • Мониторить целостность файлов и поведение JavaScript на сайтах, обращая внимание на неожиданные вставки iframe и обфусцированные скрипты.
  • Для пользователей: бдительность при взаимодействии с видимыми CAPTCHA/фреймами на знакомых сайтах; при сомнениях — не вводить чувствительные данные и сообщать владельцам сайтов.
  • Командам безопасности: применять обнаружение на основе поведения, анализ сетевых аномалий и использовать опубликованные IoCs для корреляции событий.

Итог

Кампания с ClickFix демонстрирует, что компрометация легитимных сайтов и fileless-исполнение остаются эффективными при массовых кампаниях по краже данных. Несмотря на использование известных компонентов и относительно низкую сложность отдельных модулей, высокая автоматизация, обфускация и реализация execution-in-memory делают эту угрозу опасной и трудной для детектирования. Публикация Rapid7 IoCs и рекомендаций призвана помочь администраторам и SOC-командам оперативно реагировать и снижать риски.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: