BI.ZONE предупреждает: Хакеры просто взяли и заставили россиян взламывать себя сами
NewsMakerClickFix добрался до России.
В мае — начале июня 2025 года минимум 30 российских компаний подверглись атакам с использованием техники ClickFix , сообщает BI.ZONE Threat Intelligence. До этого данный подход применялся только против зарубежных организаций. ClickFix основан на вовлечении пользователя в выполнение вредоносных действий под видом устранения «технической проблемы».
По данным аналитиков, в обеих зафиксированных кампаниях злоумышленники рассылали фишинговые PDF-документы, оформленные якобы от имени российских силовых ведомств. Основной текст в файле был заблюрен, и для его просмотра предлагалось «подтвердить, что вы не робот». Нажатие на кнопку «Я не робот» перенаправляло пользователя на сайт с фальшивой CAPTCHA. При клике на элемент жертва незаметно копировала в буфер PowerShell-скрипт.
Затем пользователя просили выполнить ряд инструкций, включая комбинации Win + R, Ctrl + V и Enter, якобы для подтверждения доступа к документу. Таким образом жертва запускала вредоносный код вручную.
Скрипт скачивал изображение в формате PNG с сервера атакующих и извлекал из него загрузчик Octowave Loader. Последний содержал как легитимные файлы, так и вредоносные. Один из компонентов использовал методы стеганографии для сокрытия исполняемого кода, который активировал ранее неизвестный RAT — троян удалённого доступа собственной разработки.
Этот RAT сначала собирал базовую информацию о системе жертвы, а затем позволял злоумышленникам удалённо запускать команды и процессы. Исследователи отмечают, что применение сложной цепочки заражения и стеганографии направлено на обход защитных механизмов и затруднение обнаружения угрозы.
Особенность атаки — использование PNG-файлов с политическими мемами. Однако содержимое изображений не отображалось пользователю — загрузка происходила в фоновом режиме.
По оценке BI.ZONE, применение уникального RAT и маскировка под официальную переписку от госорганов указывает на шпионскую природу атак. В компании подчеркнули, что «злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии».
В мае — начале июня 2025 года минимум 30 российских компаний подверглись атакам с использованием техники ClickFix , сообщает BI.ZONE Threat Intelligence. До этого данный подход применялся только против зарубежных организаций. ClickFix основан на вовлечении пользователя в выполнение вредоносных действий под видом устранения «технической проблемы».
По данным аналитиков, в обеих зафиксированных кампаниях злоумышленники рассылали фишинговые PDF-документы, оформленные якобы от имени российских силовых ведомств. Основной текст в файле был заблюрен, и для его просмотра предлагалось «подтвердить, что вы не робот». Нажатие на кнопку «Я не робот» перенаправляло пользователя на сайт с фальшивой CAPTCHA. При клике на элемент жертва незаметно копировала в буфер PowerShell-скрипт.
Затем пользователя просили выполнить ряд инструкций, включая комбинации Win + R, Ctrl + V и Enter, якобы для подтверждения доступа к документу. Таким образом жертва запускала вредоносный код вручную.
Скрипт скачивал изображение в формате PNG с сервера атакующих и извлекал из него загрузчик Octowave Loader. Последний содержал как легитимные файлы, так и вредоносные. Один из компонентов использовал методы стеганографии для сокрытия исполняемого кода, который активировал ранее неизвестный RAT — троян удалённого доступа собственной разработки.
Этот RAT сначала собирал базовую информацию о системе жертвы, а затем позволял злоумышленникам удалённо запускать команды и процессы. Исследователи отмечают, что применение сложной цепочки заражения и стеганографии направлено на обход защитных механизмов и затруднение обнаружения угрозы.
Особенность атаки — использование PNG-файлов с политическими мемами. Однако содержимое изображений не отображалось пользователю — загрузка происходила в фоновом режиме.
По оценке BI.ZONE, применение уникального RAT и маскировка под официальную переписку от госорганов указывает на шпионскую природу атак. В компании подчеркнули, что «злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии».