ClickFix усиливается: PySoxy и задачи для закрепления

Новая версия ClickFix делает ставку на persistence через scheduled tasks и PySoxy

Зафиксировано новое развитие ClickFix — киберугрозы, которая теперь использует комбинацию scheduled tasks и PySoxy, десятилетней давности open-source SOCKS5 proxy, чтобы организовать encrypted proxy access. Такой подход указывает на заметный отход от традиционного одноразового execution, характерного для тактик ClickFix, и демонстрирует переход к тому, что можно назвать modular post-exploitation.

Как работает атака

Первоначальное внедрение начинается с того, что пользователь, введенный в заблуждение social engineering, выполняет на первый взгляд безобидную PowerShell command. Именно это действие запускает цепочку событий, которая обеспечивает закрепление через scheduled tasks.

Такая схема позволяет злоумышленникам поддерживать активность даже в случае, если исходящие подключения к их инфраструктуре заблокированы. Благодаря повторным попыткам execution атака может продолжаться, а устойчивость к блокировкам заметно возрастает.

• PowerShell script используется не только как loader;
• он также выступает как lightweight remote access tool;
• скрипт может опрашивать наличие commands;
• это позволяет злоумышленнику удерживать active session с compromised host.

Разведка после первого execution

После первоначального запуска атакующие переходят к reconnaissance. Для этого они используют встроенные tools Windows, чтобы оценить скомпрометированную среду. Собираются данные о членстве в groups, roles in the domain и о потенциальных целях внутри инфраструктуры.

По сути, эта разведка подготавливает почву для последующего развертывания PySoxy, который создает второй канал доступа и повышает operational flexibility атакующего.

Роль PySoxy в цепочке атаки

При внедрении PySoxy запускается из нестандартного каталога, а его активность маскируется под routine activity Python. Это позволяет скрыть использование proxy-сервиса и затрудняет обнаружение.

Отдельно отмечается, что злоумышленники заранее обеспечивают доступность необходимой инфраструктуры до развертывания этого дополнительного слоя. Само execution происходит сразу после операций PowerShell и настройки scheduled tasks, что указывает на заранее выстроенную, тщательно спланированную стратегию, а не на opportunistic actions.

«Фокус исключительно на заблокированных соединениях не решает проблему механизмов закрепления, которые поддерживают работу атаки».

Почему это опасно для defenders

Для defenders этот метод представляет серьезный вызов. Наличие scheduled task означает, что меры dynamic containment не могут опираться только на обнаружение и блокировку первоначального callback.

Чтобы эффективно противостоять такой схеме, защита должна включать:

• изоляцию compromised hosts;
• проверку scheduled tasks;
• поиск аномальных executions команд Python;
• отдельный анализ действий, похожих на proxy behavior.

Иными словами, атака сохраняет работоспособность не за счет единственного канала связи, а благодаря persistence-механизмам, которые поддерживают ее на следующих этапах. Именно поэтому проверка только blocked connections оказывается недостаточной.