СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 марта
#ИБ

ClickFix: социнженерия и LotL-атаки на Windows и macOS

ClickFix превращается в многогранную киберугрозу: Insikt Group, подразделение Recorded Future (организация, признанная нежелательной в России в соответствии с решением Генпрокуратуры РФ) фиксирует рост атак на Windows и macOS

Кампании ClickFix, выявленные Insikt Group, подразделение Recorded Future, быстро эволюционировали из локальной техники социальной инженерии в масштабную киберугрозу, затрагивающую как среды Windows, так и macOS. По данным исследования, злоумышленники делают ставку не на сложные эксплойты, а на манипулирование пользователями: жертв вынуждают вручную запускать вредоносные команды, маскируя их под стандартные системные действия или «проверку человека».

Впервые методология была задокументирована в конце 2023 года, однако особенно заметный рост наблюдается с мая 2024 года. За это время атаки приобрели более гибкую структуру и начали использовать имитации известных сервисов и программных продуктов, включая Intuit QuickBooks и Booking.com. Такой подход позволяет злоумышленникам адаптировать сценарии обмана под конкретные профили жертв и повышать вероятность успешного заражения.

Как работает ClickFix

Ключевая особенность ClickFix заключается в использовании методов social engineering и инструментов living-off-the-land (LotL). Для выполнения вредоносной активности атакующие опираются на встроенные системные утилиты, такие как PowerShell и Terminal, что позволяет запускать код непосредственно в памяти и избегать традиционных механизмов обнаружения на уровне браузеров и конечных точек.

Insikt Group, подразделение Recorded Future описывает атаку как четырехэтапную схему:

  • ввод закодированных команд;
  • их собственное выполнение с использованием доверенных системных двоичных файлов;
  • удаленное подключение к доменам, контролируемым угрозами;
  • окончательное выполнение вредоносного кода в памяти.

Отдельное внимание исследователи обращают на скрипты, которые манипулируют буфером обмена жертвы. В результате пользователь может непреднамеренно вставить и запустить вредоносную полезную нагрузку, считая, что выполняет обычную проверку или техническую инструкцию.

Пять кластеров и разные сценарии обмана

Исследование выявило пять различных кластеров ClickFix, которые заметно отличаются по целевым секторам и тактикам. Среди них — имперсонации бухгалтерского software и туристических services, а также сценарии, адаптированные под особенности конкретных platform.

Один из кластеров, например, имитирует проверку человека в режиме реального времени и использует устаревшие домены, чтобы обходить меры безопасности. Такой прием показывает, насколько гибко злоумышленники подстраивают инфраструктуру и сценарии взаимодействия под реакцию систем защиты и поведение пользователей.

Командные структуры атак почти всегда исходят из ограниченного набора LOLBins, что позволяет доставлять вторичные payloads, включая:

  • RATs;
  • information stealers.

Рекомендации: защита должна выходить за рамки блокировки индикаторов

По мере того как ClickFix набирает обороты, эксперты подчеркивают: одних лишь мер по блокированию индикаторов недостаточно. Защита должна включать более жесткие поведенческие ограничения и снижение доверия к действиям, инициируемым через пользовательский интерфейс.

В рекомендациях, приведенных в отчете, отдельно выделяются следующие меры:

  • отключение диалогового окна запуска Windows с помощью group policy;
  • использование режима PowerShell с ограниченным использованием языка;
  • внедрение агрессивных мер по hardening поведения на конечных точках;
  • контроль доверенных системных утилит, которые могут быть использованы в вредоносных целях.

Почему ClickFix остается опасной

Insikt Group, подразделение Recorded Future считает, что эффективность ClickFix, вероятно, сохранится и в дальнейшем. Причина в том, что эта методология легко масштабируется: злоумышленники могут усложнять сценарии социальной инженерии, совершенствовать инфраструктуру и продолжать использовать встроенные инструменты операционных систем против самих пользователей.

Эволюционирующий характер кампаний ClickFix указывает на переход к более стандартизированному шаблону cybercrime, представляющему серьезную угрозу для sectors, где критически важны непрерывность работы и операционная целостность. В таких условиях защитникам необходимо сосредоточиться на упреждающих мерах, учитывающих базовые механизмы доверия пользователя и легитимного доступа, которыми злоумышленники все чаще пользуются как точкой входа.

Иными словами, ClickFix демонстрирует, что даже встроенные инструменты, предназначенные для повседневной работы, могут быть превращены в средство атаки — и, судя по динамике кампаний, этот подход еще долго останется в арсенале киберпреступников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: