GLS-malspam в Италии: ClickFix распространяет троян Remcos
В Италии развернулась масштабная кампания malspam, в которой злоумышленники выдают себя за курьерскую службу GLS и призывают частных лиц заполнить поддельную форму повторной доставки. По данным расследования, основным механизмом заражения выступает метод ClickFix, ставший за последний год всё более распространённым для распространения вредоносного ПО. В качестве основного семейства вредоносного ПО в этой операции используется троян удалённого доступа Remcos (RAT).
Суть атаки и методика ClickFix
Кампания реализуется через фишинговые сообщения, в которых пользователю предлагается заполнить «форму повторной доставки». Это социально-инженерная уловка: злоумышленники рассчитывают на то, что получатель, обеспокоенный якобы задержкой посылки, вручную выполнит действия, необходимые для активации вредоносного кода.
«Подход ClickFix вызывает особую озабоченность, поскольку он основан на вмешательстве пользователя, которое может обойти некоторые меры безопасности, автоматически отфильтровывающие традиционные угрозы.»
ClickFix особенно опасен тем, что эксплуатация опирается не на техническую уязвимость в ПО, а на доверчивость пользователя — это увеличивает вероятность успешного заражения, поскольку автоматические фильтры могут не реагировать на пользовательские действия.
Что делает Remcos (RAT)
Remcos (RAT) — это типичный троян удалённого доступа. После активации он предоставляет злоумышленникам несанкционированный удалённый доступ к системе жертвы, что даёт возможности для:
- удалённого мониторинга и управления заражённым устройством;
- сбора конфиденциальной информации (учётных данных, файлов);
- установки дополнительного ПО и создания постоянных каналов связи (C2);
- использования заражённого устройства в дальнейших атакующих операциях.
Почему это опасно для пользователей и организаций
Рост кампаний с использованием ClickFix указывает на изменение тактик киберпреступников — переход к методам, которые рассчитывают на человеческий фактор, чтобы обходить традиционные средства защиты. В результате:
- автоматические фильтры и антивирусы становятся менее эффективными против действий, инициированных пользователем;
- жертвы могут не распознать фишинг вовремя, приняв вредоносную форму за легитимную;
- усложняется обнаружение и реагирование, поскольку вход в систему может выглядеть как «легитимная» активность пользователя.
Практические рекомендации
Для минимизации риска заражения и быстрого реагирования на подобные кампании рекомендуется:
- Не переходить по ссылкам и не заполнять формы из неизвестных или неожиданно пришедших писем, даже если они выглядят как уведомления от курьерских служб (GLS и др.).
- Проверять легитимность сообщений: официальные уведомления можно уточнить через официальный сайт службы или клиентскую поддержку, набрав номер телефона с сайта, а не с письма.
- Использовать многофакторную аутентификацию (MFA) там, где это возможно.
- Поддерживать актуальность ОС и приложений, внедрить EDR/NGAV-решения и расширенные почтовые фильтры, способные обнаруживать фишинговые шаблоны.
- Ограничивать права пользователей: не работать под аккаунтами с правами администратора для повседневных задач.
- Обучать сотрудников и пользователей распознаванию социальной инженерии и типичных приемов фишинга.
- При подозрении на заражение — немедленно отключить устройство от сети и обратиться в службу ИБ для расследования и очистки.
Вывод
Кампания с использованием бренда GLS и метода ClickFix, распространяющая Remcos (RAT), демонстрирует, что киберугрозы продолжают эволюционировать в сторону социальной инженерии и более изощрённых методов обхода защитных механизмов. Это требует от пользователей и организаций не только технических мер защиты, но и постоянной бдительности, обучения и пересмотра процедур безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
