ClickFix и ResiLoader: новая инфраструктура доставки ВПО
Инфраструктура ClickFix: как привычные интерфейсы превращаются в оружие
Исследователи кибербезопасности раскрыли детали кампании, использующей единую инфраструктуру ClickFix для развертывания целого арсенала вредоносного ПО. Среди доставляемых угроз — StealC, Amatera, Remus, NetSupport, CastleLoader и новый, ранее не описанный загрузчик, получивший имя ResiLoader. Злоумышленники делают ставку на изощрённую социальную инженерию, имитируя легитимные сервисы верификации и вынуждая жертву самостоятельно запускать вредоносный код.
Механика атаки: от поддельной reCAPTCHA к консоли PowerShell
Ключевой элемент кампании — подмена механизмов проверки, знакомых каждому пользователю интернета. На мошеннических веб-страницах воспроизводятся интерфейсы Google reCAPTCHA и проверок Cloudflare. Жертве демонстрируются визуальные подсказки, сообщения об ошибках или таймеры обратного отсчёта, создающие иллюзию срочности и легитимности. Конечная цель — заставить пользователя скопировать отображаемую команду и выполнить её в собственной консоли PowerShell.
Такой подход позволяет обходить многочисленные средства защиты браузера и конечных точек, ориентированные на автоматизированные сценарии, такие как drive-by downloads. Поскольку вредоносный код запускается непосредственно самой жертвой, традиционные детекты, маркирующие фоновую загрузку, оказываются бессильны.
Унифицированная инфраструктура и маркеры кампании
Анализ показал, что различные полезные нагрузки кампании размещаются в хранилищах Cloudflare R2. Структура команд демонстрирует адаптивность: используются шаблоны, заимствованные из пула предопределённых портов. Злоумышленники гибко комбинируют простые и обфусцированные конструкции, варьируя способы доставки конечной нагрузки.
Одним из характерных признаков инфраструктуры стал специфический ответ серверов на непредвиденные запросы. В HTML-коде, возвращаемом такими серверами, присутствует слово «hehe». Этот, казалось бы, несерьёзный маркер служит устойчивым индикатором компрометации и помогает идентифицировать связанные с кампанией узлы.
ResiLoader — новый инструмент в арсенале атакующих
Особого внимания заслуживает ResiLoader. Этот загрузчик демонстрирует расширенные возможности: он использует легитимный клиент обмена сообщениями и опирается на драйвер, собранный на более раннем этапе атаки, для завершения нежелательных процессов. Таким образом, ResiLoader обходит стандартные меры безопасности, не вызывая подозрений. Вредоносные команды хранятся внутри загрузчика, а выполнение реализуется через комбинацию техник, включая JavaScript blobbing.
Архитектура ResiLoader включает модули, отвечающие за мониторинг активности буфера обмена и делегирование выполнения задач в зависимости от операционной системы. Это подчёркивает внимание разработчиков к деталям и нацеленность на поражение различных сред.
Эволюция стратегий: ставка на новые среды выполнения
Кампания не статична. Зафиксированы свидетельства того, что те же субъекты угрозы экспериментируют с новыми средами выполнения, продолжая совершенствовать свои методы доставки. Это подтверждает долгосрочный характер операции и стремление операторов поддерживать эффективность атак в условиях меняющегося защищённого ландшафта.
Рекомендации по обнаружению и защите
Для противодействия атакам ClickFix аналитикам и командам SOC рекомендуется фокусироваться на поведенческих индикаторах, а не исключительно на статических сигнатурах файлов. Ключевые точки контроля:
- Корреляция событий буфера обмена с последующим запуском PowerShell — подозрительная последовательность, при которой копирование текста мгновенно предшествует выполнению скрипта.
- Мониторинг необычных паттернов управления процессами, особенно тех, которые задействуют легитимные драйверы в злонамеренных целях.
- Выявление сетевых соединений с узлами, возвращающими в ответах маркер «hehe», как индикатора взаимодействия с инфраструктурой ClickFix.
Тактики, применяемые данной инфраструктурой, обнажают тревожную реальность современных киберугроз: привычные пользовательские среды и интерфейсы целенаправленно используются как оружие против неосведомлённых людей. Ландшафт угроз продолжает адаптироваться, заставляя защиту становиться столь же проактивной и гибкой, как и стратегии атакующих.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



