СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.11.2025
#ИБ#ИИ

Кампания ClickFix: стеганография в PNG, LummaC2 и Rhadamanthys

Анализ выявляет многоэтапную и технически изощрённую кампанию вредоносного ПО, в центре которой — использование приманок ClickFix и нестандартная стеганография для сокрытия полезной нагрузки в файлах изображений. В результате атак наблюдалось развёртывание бэкдоров и инструментов сбора информации, включая LummaC2 и Rhadamanthys.

Ключевые выводы

  • Атакующие применяют стеганографию в файлах PNG, внедряя вредоносный код непосредственно в пиксельные данные.
  • Полезная нагрузка реконструируется и расшифровывается в памяти с использованием определённых цветовых каналов.
  • Цепочка атаки многоступенчатая: от взаимодействия жертвы с вредоносным сайтом до инжекции шеллкода в целевой процесс.
  • Для маскировки и обхода анализа используются стандартные системные инструменты и техники: mshta.exe, JScript, загрузчики на PowerShell и .NET-сборки, а также утилита Donut для упаковки извлечённых модулей.
  • Приманки демонстрируют минимальную запутанность и содержат комментарии на русском языке, что может помочь в дальнейшей корреляции инцидентов.

Как работает кампания — поэтапная последовательность

Атака разворачивается в несколько четко структурированных этапов:

  1. Начальное заражение: жертва переходит на вредоносный веб-сайт — приманку ClickFix. Для запуска начальной полезной нагрузки используется mshta.exe, который исполняет JScript.
  2. Загрузчик на PowerShell: далее включается загрузчик на PowerShell, который загружает последующие модули и применяет «junk code» для усложнения анализа.
  3. .NET-лоадер и стеганография: третья стадия — .NET-сборка, выполняющая роль загрузчика. Фактический шеллкод скрыт в зашифрованном файле PNG и извлекается с помощью пользовательского стеганографического алгоритма.
  4. Извлечение и исполнение шеллкода: изображение расшифровывается, вредоносный код извлекается из определённых цветовых каналов и вводится в целевой процесс (например, explorer.exe) с использованием методики отражательной загрузки вторичной сборки.
  5. Упаковка и последующие модули: извлечённые полезные файлы упакованы с помощью Donut, что облегчает скрытую загрузку и исполнение дополнительных компонентов, включая LummaC2 и Rhadamanthys.

Стеганография в PNG: что важно знать

Особенность кампании — инновационное внедрение шеллкода в пиксельные данные PNG-файлов. Атакующие используют кастомный алгоритм, который:

  • зашифровывает полезную нагрузку перед встраиванием в изображение;
  • располагает данные в специфичных цветовых каналах, что позволяет реконструировать и расшифровать код уже в памяти жертвы;
  • ускользает от простых сигнатурных проверок, поскольку файл внешне остаётся валидным изображением.

Социальная инженерия и маскировка

Наблюдаются адаптивные варианты приманок. Одна из итераций имитирует экран обновления Windows, что вводит пользователя в заблуждение и побуждает выполнять вредоносные команды. Такой UI-обман повышает вероятность успешного выполнения сценария атаки.

«Эта итерация представляет собой убедительный пользовательский интерфейс, имитирующий законный экран обновления Windows» — ключевой элемент социальной инженерии в кампании.

Индикаторы и дополнительные заметки

  • Активность включает использование mshta.exe, скриптов JScript, загрузчиков на PowerShell и .NET-лоадеров.
  • Целевые процессы для инжекции — типично explorer.exe.
  • Файлы-носители — зашифрованные PNG с пользовательской стеганографией.
  • Упаковка модулей — Donut.
  • Приманки содержат комментарии на русском языке — возможный ориентир при поиске связанных сайтов.

Рекомендации для защиты

  • Мониторить запуск mshta.exe и аномальную активность PowerShell (включая нестандартные команды и загрузку двоичных модулей).
  • Анализировать сетевой трафик и URL, связанные с приманками ClickFix, и оперативно блокировать подтверждённые домены.
  • Проверять целостность и содержимое изображений (PNG) в критичных окружениях, обращая внимание на необычные метаданные и подозрительные паттерны в цветовых каналах.
  • Контролировать инжекции в системные процессы (например, explorer.exe) и использование техник отражательной загрузки.
  • Обучать пользователей распознаванию поддельных UI (например, фальшивых экранов обновления Windows) и политикам запрета запуска подозрительных исполняемых через UI-подобные элементы.

Кампания демонстрирует сочетание продвинутых технических приёмов и эффективной социальной инженерии. Такое сочетание повышает риск успешных компрометаций и требует от организаций как улучшения технических средств обнаружения, так и внимания к поведению пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: