СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 03:24
#ИБ

ClickFix: бэкдор через поддельный крипто-airdrop и Python

Недавняя кампания, приписываемая группе ClickFix, демонстрирует рост изощренности атакаторов: злоумышленники распространяют вредоносное ПО через мошеннический веб‑сайт с фиктивным airdrop — и добиваются установки постоянного бэкдора, который почти не оставляет файловых следов для классического анализа.

Схема атаки — по шагам

Атака начинается с простого социального инженерства: жертве показывают сайт, рекламирующий бессмысленный airdrop в размере $TEMU, якобы связанный с легальной торговой платформой. Пользователя убеждают выполнить ряд команд, под видом проверок безопасности или верификации, — и эти команды запускают цепочку установки вредоносного ПО.

  • Мошеннический сайт инициирует выполнение команд, которые жертва копирует и вставляет в терминал.
  • Вредоносное ПО собирает базовую информацию о системе и отправляет её на командный сервер (C2).
  • C2 отвечает уникальной полезной нагрузкой, привязанной к идентификатору компьютера; это усложняет обнаружение сигнатурой.
  • Полезная нагрузка развёртывается через встроенную среду исполнения Python, помеченную как pythonw.exe, что позволяет работать без видимой консоли.
  • Критически важно: скрипт вредоносного кода не сохраняется локально — инструкции динамически извлекаются с сервера при каждом запуске.

«Вредоносное ПО не хранит свой скрипт локально на компьютере, вместо этого динамически извлекая инструкции с командного сервера при каждой регистрации.»

Технологические особенности и тактическое преимущество

Отказ от постоянных файлов означает, что традиционные механизмы на основе сигнатур (file hash, YARA по статике) оказываются малоэффективны. Компонент, запускаемый через pythonw.exe, работает без видимой консоли и маскируется под легитимную активность — особенно в средах, где Python широко используется для автоматизации и внутренних скриптов.

Дополнительный уровень маскировки — генерация уникальной полезной нагрузки с учётом идентификатора машины — приводит к тому, что образцы не совпадают с известными сигнатурами, что затрудняет корреляцию инцидентов и сбор IOC.

Возможности бэкдора

  • Кража конфиденциальных данных: учётные данные браузера, session cookies.
  • Keylogging — запись нажатий клавиш.
  • Создание скриншотов рабочего стола.
  • Инфраструктура уведомлений через Телеграм, указывающая на постоянный мониторинг жертв.
  • Наличие debug‑флага, что может свидетельствовать о стадии разработки либо о бережной (фрагментированной) эксплуатации.

Почему это особенно опасно

Кампания иллюстрирует сдвиг с «как доставить» на «как скрыть следы»: злоумышленники стремятся избежать оставления согласованных файлов, которые можно было бы собрать и сравнить. Это требует от защитников смещения фокуса в сторону телеметрии поведения, контроля исполняемых команд и сетевой активности, а не только сканирования файловой системы.

Рекомендации для пользователей и команд ИБ

  • Не копируйте и не выполняйте команды из непроверенных источников. Прежде чем вставлять команду в терминал, проверьте её содержание вручную.
  • Ограничьте запуск pythonw.exe и других интерпретаторов на рабочих станциях через application control/whitelisting.
  • Внедрите мониторинг поведения процессов и сетевой телеметрии (EDR, NDR) для выявления динамической загрузки кода и частых обращений к неизвестным C2.
  • Обновляйте антивирусные и EDR‑решения и применяйте правила блокировки подозрительных цепочек команд.
  • Используйте многофакторную аутентификацию и регулярно меняйте учётные данные при подозрении на компрометацию.
  • Ограничьте распространение прав администратора пользователям, чтобы уменьшить риск выполнения вредоносных команд.

Вывод

Кампания ClickFix подчёркивает, что злоумышленники всё чаще делают ставку на динамическое исполнение кода и минимизацию следов на диске. Это требует от организаций перехода от чисто сигнатурных систем защиты к комплексному подходу: контроль командной деятельности пользователей, поведенческий мониторинг, жесткие политики исполнения и просвещение конечных пользователей. Осторожность при обработке онлайн‑запросов и базовые гигиенические практики по‑прежнему остаются первым рубежом обороны против таких адаптивных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: