ClickFix и ResiLoader: новая инфраструктура доставки ВПО

Инфраструктура ClickFix: как привычные интерфейсы превращаются в оружие

Исследователи кибербезопасности раскрыли детали кампании, использующей единую инфраструктуру ClickFix для развертывания целого арсенала вредоносного ПО. Среди доставляемых угроз — StealC, Amatera, Remus, NetSupport, CastleLoader и новый, ранее не описанный загрузчик, получивший имя ResiLoader. Злоумышленники делают ставку на изощрённую социальную инженерию, имитируя легитимные сервисы верификации и вынуждая жертву самостоятельно запускать вредоносный код.

Механика атаки: от поддельной reCAPTCHA к консоли PowerShell

Ключевой элемент кампании — подмена механизмов проверки, знакомых каждому пользователю интернета. На мошеннических веб-страницах воспроизводятся интерфейсы Google reCAPTCHA и проверок Cloudflare. Жертве демонстрируются визуальные подсказки, сообщения об ошибках или таймеры обратного отсчёта, создающие иллюзию срочности и легитимности. Конечная цель — заставить пользователя скопировать отображаемую команду и выполнить её в собственной консоли PowerShell.

Такой подход позволяет обходить многочисленные средства защиты браузера и конечных точек, ориентированные на автоматизированные сценарии, такие как drive-by downloads. Поскольку вредоносный код запускается непосредственно самой жертвой, традиционные детекты, маркирующие фоновую загрузку, оказываются бессильны.

Унифицированная инфраструктура и маркеры кампании

Анализ показал, что различные полезные нагрузки кампании размещаются в хранилищах Cloudflare R2. Структура команд демонстрирует адаптивность: используются шаблоны, заимствованные из пула предопределённых портов. Злоумышленники гибко комбинируют простые и обфусцированные конструкции, варьируя способы доставки конечной нагрузки.

Одним из характерных признаков инфраструктуры стал специфический ответ серверов на непредвиденные запросы. В HTML-коде, возвращаемом такими серверами, присутствует слово «hehe». Этот, казалось бы, несерьёзный маркер служит устойчивым индикатором компрометации и помогает идентифицировать связанные с кампанией узлы.

ResiLoader — новый инструмент в арсенале атакующих

Особого внимания заслуживает ResiLoader. Этот загрузчик демонстрирует расширенные возможности: он использует легитимный клиент обмена сообщениями и опирается на драйвер, собранный на более раннем этапе атаки, для завершения нежелательных процессов. Таким образом, ResiLoader обходит стандартные меры безопасности, не вызывая подозрений. Вредоносные команды хранятся внутри загрузчика, а выполнение реализуется через комбинацию техник, включая JavaScript blobbing.

Архитектура ResiLoader включает модули, отвечающие за мониторинг активности буфера обмена и делегирование выполнения задач в зависимости от операционной системы. Это подчёркивает внимание разработчиков к деталям и нацеленность на поражение различных сред.

Эволюция стратегий: ставка на новые среды выполнения

Кампания не статична. Зафиксированы свидетельства того, что те же субъекты угрозы экспериментируют с новыми средами выполнения, продолжая совершенствовать свои методы доставки. Это подтверждает долгосрочный характер операции и стремление операторов поддерживать эффективность атак в условиях меняющегося защищённого ландшафта.

Рекомендации по обнаружению и защите

Для противодействия атакам ClickFix аналитикам и командам SOC рекомендуется фокусироваться на поведенческих индикаторах, а не исключительно на статических сигнатурах файлов. Ключевые точки контроля:

  • Корреляция событий буфера обмена с последующим запуском PowerShell — подозрительная последовательность, при которой копирование текста мгновенно предшествует выполнению скрипта.
  • Мониторинг необычных паттернов управления процессами, особенно тех, которые задействуют легитимные драйверы в злонамеренных целях.
  • Выявление сетевых соединений с узлами, возвращающими в ответах маркер «hehe», как индикатора взаимодействия с инфраструктурой ClickFix.

Тактики, применяемые данной инфраструктурой, обнажают тревожную реальность современных киберугроз: привычные пользовательские среды и интерфейсы целенаправленно используются как оружие против неосведомлённых людей. Ландшафт угроз продолжает адаптироваться, заставляя защиту становиться столь же проактивной и гибкой, как и стратегии атакующих.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: