СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:36
#ИБ

Фишинг Web3 через LinkedIn: ClickFix атакует macOS и Windows

Коротко

Расследование Moonlock Lab выявило масштабную и целенаправленную вредоносную кампанию, нацеленную на специалистов в области криптовалют и Web3. Злоумышленники притворялись венчурными капиталистами, привлекая жертв через LinkedIn, а затем доставляли вредоносную полезную нагрузку с помощью техники, известной как ClickFix.

Как работает схема

По данным отчёта, цепочка атак развивается по отработанному сценарию:

  • Первичный контакт через LinkedIn с тщательно сфабрикованными профилями, представляющими фиктивные фирмы (например, SolidBit Capital и MegaBit).
  • Перевод диалога в русло планирования звонка и отправка ссылок на поддельные платформы видеоконференций.
  • Переход жертвы на поддельный сайт, имитирующий сервис видеоконференций, где запускается механизм доставки — ClickFix.
  • Механизм убеждает пользователя выполнить действия, которые выглядят как обычные операции браузера (например, ввод капчи), но на самом деле запускают вредоносные команды через буфер обмена.

«Механизм ClickFix основан на том, чтобы обманом заставить пользователей выполнять вредоносные команды, замаскированные под обычные задачи браузера», — отмечают исследователи.

Технические особенности поставки полезной нагрузки

Метод ClickFix использует социальную инженерию и особенности взаимодействия браузера с пользователем: под видом автоматического ввода капчи в буфер обмена помещаются команды, которые жертве предлагается вставить и выполнить в терминале.

Особенности реализации по платформам:

  • Windows: команда PowerShell действует как файловый загрузчик — извлекает и выполняет удалённые скрипты в памяти.
  • macOS: более сложный многоэтапный процесс, где используются легальные инструменты (включая Homebrew) для облегчения последующего заражения, что повышает маскировку активности.

Инфраструктура фишинга и роль AI

Фишинговые домены и веб-сайты кампании детально проработаны: они имитируют законные корпоративные фасады и даже персонал, созданный с помощью искусственного интеллекта. Это указывает на значительные ресурсы, вложенные в построение доверительных идентификационных данных.

Атрибуция и связь с ранее известными операторами

Анализ WHOIS позволил связать часть инфраструктуры с именем Анатолий Бигдаш, что исследователи рассматривают как возможную единую точку происхождения и связь с предыдущей мошеннической деятельностью. Поведенческие признаки кампании демонстрируют сходство с методологиями, применяемыми группами, имеющимися в публикациях, ассоциируемых с КНДР: структурные совпадения, схожие соглашения об именовании доменов и общая тактика.

Тем не менее окончательная атрибуция остаётся неопределённой — исследователи подчёркивают, что поведенческие индикаторы лишь «сильно совпадают» с ранее выявленными северокорейскими актор-ами, но прямых доказательств государственного происхождения пока нет.

Типичный набор индикаторов и этапов атаки

  • Сфабрикованные профили в LinkedIn и персонализированные приглашения/сообщения.
  • Перевод общения на формат видеозвонка и предоставление ссылки на поддельную платформу.
  • Переход на фишинговый домен с тщательно оформленными страницами и AI-сгенерированным представителем.
  • Запись в буфер обмена команд для выполнения в терминале — механизм ClickFix.
  • Загрузка и выполнение скриптов: PowerShell для Windows, многоступенчатые цепочки с Homebrew для macOS.

Рекомендации для специалистов Web3 и венчурных сообществ

Исходя из описанной кампании, исследователи и эксперты по безопасности советуют соблюдать базовые меры предосторожности:

  • Проверять подлинность профилей в LinkedIn — поищите историю, взаимных контактов и подтвердившие репутацию ссылки.
  • Не переходите по незнакомым ссылкам на видеоконференции без предварительной проверки домена и его сертификата.
  • Никогда не вставляйте и не выполняйте команды из буфера обмена в терминале без полной уверенности в их происхождении.
  • Ограничьте права выполнения скриптов и используйте инструменты предотвращения выполнения непроверенного кода (Application Control/Endpoint Protection).
  • Используйте многофакторную аутентификацию и отдельные рабочие профили/машины для взаимодействия с внешними контактами и тестирования предложений по работе.

Вывод

Кампания, описанная Moonlock Lab, демонстрирует высокий уровень подготовки: от социальных манипуляций через LinkedIn до технически изощрённой доставки полезной нагрузки с помощью ClickFix. Комбинация профессионально оформленных фишинговых ресурсов и использования легитимных инструментов для маскировки делает угрозу особенно опасной для специалистов в сфере криптовалют и Web3. Даже при неопределённой атрибуции — и при наличии сходств с ранее зафиксированными северокорейскими операциями — основной посыл ясен: пользователи должны проявлять повышенную осторожность и внедрять практики кибергигиены.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: