Хакеры используют iClicker как приманку для распространения вредоносного ПО через поддельную CAPTCHA и PowerShell-скрипты

Образовательная платформа iClicker, популярная среди студентов и преподавателей университетов США, оказалась мишенью кибератаки, в которой применялась схема ClickFix. Как сообщает издание BleepingComputer, атака произошла в середине апреля и продолжалась с 12 по 16 число. Злоумышленники задействовали подмену CAPTCHA, чтобы вынудить пользователей выполнить вредоносный код на своих устройствах.

Суть атаки заключалась в том, что на сайте отображалась поддельная проверка «Я не робот», имитирующая стандартную форму верификации. Под предлогом подтверждения личности жертве предлагалось воспользоваться сочетанием клавиш Win + R для открытия системного окна запуска, а затем вставить в него содержимое буфера обмена. Именно в этот момент и происходила активация вредоносного скрипта, предварительно скопированного туда автоматически.

По данным исследователей, скрипт был написан на PowerShell и имел адаптивную структуру — он изменялся в зависимости от того, кто именно посещал страницу. Это затрудняет определение точного состава вредоносной нагрузки, но специалисты отмечают, что схемы типа ClickFix чаще всего нацелены на установку программ для кражи данных.

Подобные инструменты, известные как инфостилеры, используются для сбора персональных данных, в том числе паролей, куки-файлов, истории браузера, данных банковских карт и содержимого криптокошельков. Злоумышленники могут как продавать эти сведения в даркнете, так и использовать их при повторных атаках. Ранее подобные схемы применялись в вредоносных кампаниях, связанных с фейковыми CAPTCHA от имени облачных сервисов.

По информации BleepingComputer, атака уже нейтрализована — в настоящее время сайт iClicker очищен от вредоносного кода. Тем не менее, эксперты подчёркивают, что сам скрипт остаётся доступным для ручного запуска и всё ещё может быть использован на других платформах, например через сервис анализа активности Any.Run.