Рост атак ClickFix: новые угрозы и сложные вредоносные RAT

Специалисты Elastic Security Labs зафиксировали значительное увеличение числа атак, связанных с методами исправления кликов (ClickFix), где злоумышленники активно применяют социальную инженерию для развертывания мощных вредоносных программ. Среди наиболее опасных — трояны удаленного доступа (RAT) и кражи данных, такие как GHOSTPULSE, LUMMA и новейший ARECHCLIENT2.

Методика атак ClickFix: новая угроза в киберпространстве

ClickFix был впервые выявлен в марте 2024 года и заключается в том, что пользователям предлагается выполнить вредоносные команды PowerShell, подаваемые под видом безобидных исправлений или обновлений. Этот прием, основанный на эксплуатации человеческой психологии, повышает вероятность успешного заражения и служит эффективной точкой входа для злоумышленников.

Атаки обычно начинаются с фишинговых страниц, имитирующих легитимные сервисы, например, проверку капчи Cloudflare. Взаимодействие пользователя с такими страницами запускает вредоносное ПО.

Особенности загрузчика GHOSTPULSE

• Представляет собой многоступенчатую полезную нагрузку с расширенными модулями для уклонения от обнаружения и обфускации.
• Вредоносная команда PowerShell копируется в буфер обмена и при выполнении загружает ZIP-архив с компонентами GHOSTPULSE.
• Архив содержит как безвредные исполняемые файлы, так и вредоносные DLL, которые используют метод дополнительной загрузки DLL для упрощения первоначального запуска.
• С момента появления в 2023 году GHOSTPULSE неоднократно обновлялся; последние версии умеют хранить зашифрованные данные в изображениях, что повышает скрытность атак.
• Обнаружены функции для проверки уже запущенных процессов с целью избежать обнаружения и расшифровки критически важной информации из дополнительных файлов.
• Используется сложный .NET-загрузчик с несколькими уровнями выполнения полезной нагрузки.

Активный рост вредоносного ПО ARECHCLIENT2 (SectopRAT)

В 2025 году отмечен существенный рост числа пользователей вредоносной программы ARECHCLIENT2, также известной как SectopRAT. Это запутанная .NET-угроза, ориентированная на кражу конфиденциальных данных, включая учетные данные различных приложений.

Ключевые особенности ARECHCLIENT2:

• Использование современных технологий для обеспечения устойчивости вредоносного ПО в системе (сохраняемости).
• Налаженная инфраструктура Command and Control (C2), позволяющая удаленно управлять зараженными устройствами.
• Активное переключение между IP-адресами в различных автономных системах для поддержки операционной безопасности и затруднения отслеживания.

Стратегия атак и значение для безопасности

ClickFix-кампании используют многоэтапные сценарии атак, которые сочетают в себе:

• Продуманную социальную инженерию
• Технические методы обхода систем защиты

Такое сочетание позволяет злоумышленникам собирать обширную информацию о целевых системах и конфиденциальных данных и обеспечивает возможность масштабных вредоносных операций.

Эксперты Elastic Security подчеркивают важность постоянного мониторинга подобных активностей. Наблюдается тревожная тенденция роста числа подобных хакерских кампаний, что требует от организаций и пользователей повышенной бдительности и применения передовых мер информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.