ClickFix через фальшивый Teams-экран заражает пользователей PowerShell

Фишинговая кампания маскируется под обновление Microsoft Teams и Chrome

Специалисты по кибербезопасности выявили недавнюю кампанию, в которой злоумышленники используют поддельную страницу загрузки Microsoft Teams для распространения вредоносного кода ClickFix. Для маскировки атаки используется легенда о якобы необходимом Chrome security update, что позволяет обманом заставить пользователей самостоятельно запустить вредоносную PowerShell-команду.

Сценарий атаки построен на социальной инженерии: жертве демонстрируется сайт, внешне максимально похожий на легитимный интерфейс Microsoft Teams. Прежде чем появится поддельное предупреждение об обновлении Chrome, ресурс требует от пользователя простого взаимодействия — например, клика по странице. Такой прием помогает обходить автоматизированные средства защиты, которые не всегда способны имитировать полноценное поведение реального пользователя.

Как работает атака

После клика жертве показывается всплывающее окно с пошаговой инструкцией, предлагающей вручную выполнить команду PowerShell. На первый взгляд команда выглядит безобидной: она загружает устаревший пакет Node.js с официального сайта проекта. Однако именно в этот момент начинается скрытая загрузка вредоносной составляющей.

Внутри JavaScript-кода полезной нагрузки злоумышленники применяют необычный метод сокрытия данных: они используют большой список слов, оформленный в стиле стихотворения, чтобы спрятать встроенные файлы. Такая техника позволяет ВПО реконструировать вредоносные компоненты уже во время выполнения, вместо того чтобы хранить их напрямую на устройстве жертвы.

Что происходит после запуска

После успешного выполнения команды вредоносный код выгружает исполняемый файл, который маскируется под вспомогательный компонент Microsoft Edge. Файл размещается по пути:

C:ProgramDataMicrosoft Edge Updates HelpercgpIJPjs25zk

Вместе с ним загружаются несколько DLL-библиотек:

• msvcp140.dll
• vcruntime140.dll
• vcruntime140_1.dll

Это легитимные зависимости среды выполнения Visual C++. Их включение, вероятно, необходимо для корректного запуска вредоносного исполняемого файла на системе жертвы и одновременно повышает его скрытность.

Механизм закрепления и инфраструктура

На момент анализа в исполняемом файле не было обнаружено явных URL-адресов управления. Видимые ссылки в основном указывали на инфраструктуру сертификатов Microsoft или DigiCert, что также может использоваться для маскировки активности.

Для закрепления в системе кампания использует запись реестра в разделе:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Эта запись указывает на вредоносный исполняемый файл и обеспечивает его автоматический запуск при старте операционной системы.

Почему эта кампания опасна

Данная атака демонстрирует, насколько эффективными остаются фишинговые сценарии, построенные на доверии к известным брендам и интерфейсам. Использование знакомых названий, поддельных страниц и инструкций по ручному запуску команд делает кампанию особенно опасной для неподготовленных пользователей.

Как отмечается в отчете, подобные техники подчеркивают необходимость:

• повышения осведомленности пользователей о фишинговых схемах;
• усиления контроля за запуском PowerShell-скриптов;
• использования надежных средств защиты, способных выявлять цепочки социальной инженерии;
• проверки любых предложений об «обновлении» через официальные каналы, а не по ссылкам из всплывающих окон.

«Эта сложная кампания подчеркивает постоянную угрозу, исходящую от тактик фишинга, которые используют социальную инженерию для компрометации систем пользователей», — следует из содержания отчета.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.