СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.03.2025
#ИБ#Инфра

Новый метод социальной инженерии: угроза капчи ClickFix

Новый метод социальной инженерии: угроза капчи ClickFix

Источник: darkatlas.io

В киберпространстве появляется новый метод социальной инженерии, основанный на использовании капчи ClickFix для доставки различных типов вредоносных программ. Среди них выделяются QakBot, инфокрады и программы-вымогатели. Данный метод предлагает злоумышленникам возможность обходить традиционные меры безопасности, опираясь на доверие пользователей к системам проверки.

Как работает ClickFix?

Злоумышленники используют капчу ClickFix для активации вредоносной команды. Этот процесс начинается с запуска с помощью комбинации клавиш Windows + R, что позволяет злоумышленникам извлекать текстовый файл с указанного URL-адреса. Процесс выполнения упрощается благодаря PowerShell с использованием команды Invoke-Expression (iex), что дает возможность выполнять код, содержащийся в загруженном текстовом файле.

Методы обхода и обфускации

Использование ClickFix включает в себя сложные методы обфускации:

  • Использование XOR для расшифровки шестнадцатеричных строк
  • Загрузка ZIP-файла с легитимного вида сайта, такого как duolingos.com
  • Извлечение ZIP-файла выполняется с помощью сборки .NET

Эти технологии затрудняют обнаружение вредоносных действий и позволяют злоумышленникам сохранять видимость легитимности.

Сложности в обнаружении

Анализ на платформе VirusTotal показал лишь одно обнаружение из 96 у разных поставщиков, что свидетельствует о низкой вероятности выявления данного вредоносного кода. При этом попытки доступа к URL-адресу приводили к ошибке 404, что указывает на дополнительные стратегии обфускации.

Угроза для пользователей

Основной механизм ClickFix основан на использовании PHP-скрипта, который функционирует как прокси-сервер, динамически загружая вредоносную информацию. Это позволяет загружать и запускать QakBot и другие типы вредоносных программ, включая инфокрадов и программы-вымогатели.

Эффективность данной схемы обеспечивает доверие пользователей к капчам, обновлениям программного обеспечения и, казалось бы, надежным веб-сайтам. Это значительно увеличивает вероятность того, что пользователи невольно выполняют вредоносные команды.

Меры по нейтрализации угроз

В настоящее время проводятся усилия по деактивации связанных доменов с целью препятствования распространению вредоносного ПО. Однако важно продолжать информировать пользователей о рисках и недобросовестных методах социальной инженерии, чтобы минимизировать шансы на успешные атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: