ClickFix-атаки набирают обороты: как злоумышленники используют GHOSTPULSE для кражи данных

ClickFix работает по простому, но эффективному сценарию: пользователю предлагается скопировать и вставить вредоносную команду PowerShell, замаскированную под решение технической проблемы, например, обновление браузера или проверку CAPTCHA. В результате исполнения команды на устройство загружается вредоносный код, который может привести к установке таких угроз, как GHOSTPULSE, LUMMA и ARECHCLIENT2 (также известный как SectopRAT).

В ходе анализа одной из последних кампаний исследователи обнаружили, что после успешного применения ClickFix злоумышленники загружают обновленную версию GHOSTPULSE - многоступенчатого загрузчика, который затем внедряет в память финальную полезную нагрузку - ARECHCLIENT2. Этот троян способен красть криптовалютные кошельки, пароли из браузеров, куки, данные автозаполнения, а также собирать системную информацию и выполнять команды с сервера управления.

Интересно, что GHOSTPULSE продолжает эволюционировать: в новых версиях конфигурация загрузчика хранится в зашифрованном файле, а не в самом бинарнике, что усложняет анализ. Кроме того, злоумышленники активно используют обход механизмов защиты, такие как патчинг AMSI и загрузка .NET CLR в память для рефлективного запуска ARECHCLIENT2.

Инфраструктура атаки включает в себя скомпрометированные серверы, маскирующиеся под легитимные рекламные агентства, а также целую сеть C2-серверов, развернутых в разных автономных системах. Некоторые из них используют обратные прокси для сокрытия реальных серверов управления.

Эксперты Elastic Security Labs рекомендуют пользователям быть предельно осторожными при выполнении любых инструкций, требующих копирования и вставки команд, особенно если они поступают с подозрительных сайтов. Также важно регулярно обновлять системы защиты и использовать решения, способные обнаруживать сложные многоступенчатые атаки.

IPv4

• 50.57.243.90
• 144.172.97.2
• 107.189.18.56
• 107.189.24.67
• 143.110.230.167
• 144.172.101.228
• 144.172.94.120
• 172.105.148.233
• 172.235.190.176
• 172.86.72.81
• 176.126.163.56
• 185.125.50.140
• 185.156.72.63
• 185.156.72.71
• 185.156.72.80
• 192.124.178.244
• 193.149.176.31
• 194.26.27.10
• 194.87.29.62
• 195.82.147.132
• 45.118.248.29
• 45.141.86.149
• 45.141.86.159
• 45.141.86.82
• 45.141.87.212
• 45.141.87.249
• 45.141.87.7
• 45.77.154.115
• 45.94.47.164
• 62.60.247.154
• 66.63.187.22
• 67.220.72.124
• 79.124.62.10
• 82.117.242.178
• 82.117.255.225
• 84.200.17.129
• 85.158.110.179
• 91.184.242.37
• 91.199.163.74

Domains

• clients.contology.com
• clients.dealeronlinemarketing.com
• koonenmagaziner.click

URLs

• pastebin.com/raw/Wg8DHh2x

SHA256

• 2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a
• 4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9
• a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90
• f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55