ClickFix: широкое распространение социальной инженерии, Lumma, DarkGate, AMOS

ClickFix — технология социальной инженерии, получившая широкое распространение в 2024 году. По данным недавних исследований, этот метод широко использовался для доставки разнообразного вредоносного ПО, включая знаменитый Lumma Stealer, и нацелен как на корпоративные, так и на пользовательские устройства по всему миру. В основе ClickFix лежит простая, но эффективная идея: заставить пользователя самостоятельно выполнить вредоносную команду, обходя традиционные защитные механизмы.

Как работает ClickFix: краткая механика атак

Цепочка атак, реализованных с помощью ClickFix, обычно развивается по следующему сценарию:

• Злоумышленники привлекают внимание жертвы через фишинговые письма, вредоносную рекламу или скомпрометированные веб-сайты.
• Пользователя перенаправляют на целевую страницу‑приманку, маскирующуюся под легитимный веб‑сервис (например, подделка сообщений Google или интерфейсов социальных сетей).
• Страница использует визуальные элементы (JavaScript, CSS и др.), чтобы убедить пользователя, что запуск предлагаемой команды безопасен.
• Пользователь вручную выполняет команду (например, через диалог Run (Запуск Windows)), после чего загружается и исполняется полезная нагрузка.

Ключевая особенность ClickFix — _взаимодействие с пользователем_. Это делает метод особенно опасным: даже при наличии EDR-решений и других средств защиты атаки остаются эффективными.

Основные векторы доставки

• Фишинговые электронные письма. Злоумышленники отправляют письма с HTML-вложениями или ссылками на поддельные страницы. Пример: группа Storm-1607 использовала HTML-вложения для развертывания загрузчика DarkGate, способного вести регистрацию нажатий клавиш и выполнять другие вредоносные действия.
• Вредоносная реклама (malvertising). Пользователи случайно переходят на вводящие в заблуждение страницы в поисках бесплатного контента или по клику на рекламный блок.
• Скомпрометированные веб‑сайты. Взломанные легитимные ресурсы используются для перенаправления пользователей на эксплойт‑страницы. Так действовал актор Storm-0249, перейдя от почтовых кампаний к эксплуатации уязвимостей на законных сайтах.

Известные кампании и целевые отрасли

Показательный пример — кампания Lampion, ориентированная на правительственные и финансовые структуры в ряде стран. В ряде атак применялись цепочки, ведущие к установке Lumma Stealer, что оборачивалось эксфильтрацией конфиденциальных данных и кражей учётных записей.

Microsoft провела исследование ряда кампаний ClickFix и предприняла меры по блокировке вредоносных доменов, что помогло остановить загрузку некоторых полезных нагрузок на раннем этапе.

Технические приёмы обхода защиты

Злоумышленники применяют продвинутые техники, чтобы усложнить детектирование:

• вложенные цепочки выполнения и многоступенчатые загрузчики;
• закодированные и обфусцированные команды, выполняющиеся в среде пользователя;
• имитация легитимных сообщений и диалогов (например, подделка системных предупреждений), стимулирующих выполнение команд через Run (Запуск Windows);
• использование JavaScript и CSS для внешнего оформления приманки и снижения подозрительности.

ClickFix и macOS

Ранее ClickFix в основном ассоциировался с Windows, однако злоумышленники быстро адаптировали метод под macOS. В числе целей — Atomic macOS Stealer (AMOS). Это указывает на изменение ландшафта угроз: теперь пользователи macOS находятся под реальной угрозой подобных атак.

Коммерциализация угрозы

Отдельно стоит отметить коммерческий аспект: наборы ClickFix выставляются на продажу на хакерских форумах. Это снижает порог вхождения для менее опытных злоумышленников и усиливает масштабы распространения атак.

Защита и рекомендации

Исследования показывают, что даже при наличии EDR-решений атаки ClickFix остаются успешными. Тем не менее есть ряд мер, которые существенно снижают риск:

• обучение сотрудников и повышение осведомлённости пользователей о механике ClickFix и опасности выполнения команд по подсказке веб‑страниц или писем;
• ограничение открытия HTML-вложений в почте и строгая фильтрация писем с внешних доменов;
• блокировка известных вредоносных доменов и URL на уровне сети и DNS;
• применение многоуровневой защиты: EDR в сочетании с веб-прокси, фильтрами контента и регулярными обновлениями браузеров и плагинов;
• использование решений для обнаружения и реагирования, таких как Microsoft Defender XDR, для интегрированной защиты и автоматизированного реагирования на инциденты;
• ограничение прав пользователей и запрет на выполнение непроверенных команд, особенно на рабочих станциях с доступом к критичным ресурсам.

Вывод

ClickFix демонстрирует, насколько эффективной может быть хорошо спланированная социальная инженерия: она использует человеческий фактор, визуальную достоверность и технические приёмы обфускации, чтобы обходить автоматические барьеры безопасности. Распространение подобных кампаний, их адаптация под macOS и коммерческая доступность наборов атаки ставят задачу перед организациями и пользователями: повышение цифровой гигиены, внедрение многоуровневых средств защиты и регулярное обучение остаются ключевыми факторами снижения риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.