Специалисты McAfee Labs обнаружили новый способ доставки вредоносного ПО, известный как цепочка заражения "Clickfix".
Исследователи McAfee заметили, что Clickfix используется двумя различными способами. Первая цепочка атак начинается с того, что пользователи посещают легитимные, но скомпрометированные веб-сайты, которые перенаправляют их на домены, где размещены поддельные всплывающие окна. В этих окнах пользователям предлагается вставить скрипт в терминал PowerShell. Второй этап начинается с того, что на почтовый ящик жертвы приходят фишинговые письма с HTML-вложениями, замаскированными под документы Word. Нажатие на подсказки в этих письмах запускает JavaScript, который копирует сценарий PowerShell в буфер обмена и приказывает пользователю выполнить его.
После выполнения эти сценарии позволяют вредоносному ПО проникнуть в систему, что может привести к краже данных или дальнейшему распространению. Вредоносные программы семейств Lumma Stealer и DarkGate были замечены в использовании этой техники. DarkGate - это вредоносное ПО, которое может красть информацию, предоставлять удаленный доступ и устанавливать бэкдоры, а Lumma Stealer - это вредоносное ПО как услуга (Maas) для кражи информации.
По данным McAfee, техника Clickfix используется в США, Канаде, Мексике, Австралии, Бразилии, Китае и других странах.
Indicators of Compromise
SHA256
- 07594ba29d456e140a171cba12d8d9a2db8405755b81da063a425b1a8b50d073
- 0db16db812cb9a43d5946911501ee8c0f1e3249fb6a5e45ae11cef0dddbe4889
- 5c204217d48f2565990dfdf2269c26113bd14c204484d8f466fb873312da80cf
- 6608aeae3695b739311a47c63358d0f9dbe5710bd0073042629f8d9c1df905a8
- 7d8a4aa184eb350f4be8706afb0d7527fca40c4667ab0491217b9e1e9d0f9c81
- 8c382d51459b91b7f74b23fbad7dd2e8c818961561603c8f6614edc9bb1637d1
- c5545d28faee14ed94d650bda28124743e2d7dacdefc8bf4ec5fc76f61756df3
- e60d911f2ef120ed782449f1136c23ddf0c1c81f7479c5ce31ed6dcea6f6adf9
- e9ad648589aa3e15ce61c6a3be4fc98429581be738792ed17a713b4980c9a4a2
