ClickFix возвращается: новая кампания использует NodeJS-стеалер с управлением через Tor и архитектурой "программы-вымогатели как услуга"

Исследователи информационной безопасности зафиксировали новую волну атак, использующих социальную инженерию ClickFix. В этот раз злоумышленники доставляют на компьютеры под управлением Windows сложный модульный похититель данных, написанный на Node.js, который функционирует по модели "программы-вымогатели как услуга" (MaaS, malware-as-a-service) и использует для скрытности сеть Tor. Эта кампания подтверждает, что популярный в начале 2025 года вектор атаки продолжает эволюционировать в сторону более качественного и скрытного вредоносного ПО.

Описание

Атака начинается с классического приёма ClickFix: пользователю показывается фальшивая CAPTCHA. При клике на неё в фоновом режиме исполняется команда PowerShell, которая загружает и тихо устанавливает вредоносный MSI-пакет с поддельным именем "NodeServer-Setup-Full.msi". Установка происходит в папку пользователя "%LOCALAPPDATA%\LogicOptimizer\" без каких-либо окон или запросов. Пакет является полностью автономным и содержит в себе всю среду выполнения Node.js, что позволяет вредоносной программе работать на любой системе Windows, даже если Node.js изначально не был установлен.

После установки программа обеспечивает своё закрепление в системе через реестр Windows. Она создаёт запись в ключе автозагрузки ("HKCU\Software\Microsoft\Windows\CurrentVersion\Run"), что гарантирует её повторный запуск при каждом входе пользователя в систему. Затем начинается многослойный процесс дешифровки конфигурации, специально разработанный для затруднения анализа. Конфигурация, включая адрес сервера управления, скрыта за случайным именем поля в JSON-файле и может быть зашифрована либо с помощью AES-256-CBC, либо XOR. Ключи шифрования меняются при каждом запуске, что усложняет статический анализ файлов на диске.

Расшифрованная конфигурация содержит домен в зоне ".onion" и порт для подключения к серверу управления. Для установки соединения вредоносная программа сначала загружает официальный пакет Tor с сайта проекта и разворачивает SOCKS5-прокси. Весь последующий трафик между заражённой системой и сервером управления передаётся через сеть Tor, что эффективно маскирует реальную инфраструктуру злоумышленников. Для обмена данными используется протокол gRPC (Google Remote Procedure Call), поддерживающий двунаправленную потоковую передачу в реальном времени.

После установки соединения программа отправляет на сервер подробный профиль жертвы, включая данные об операционной системе, аппаратном обеспечении, сети и, что критически важно, список установленных антивирусных продуктов и систем безопасности. Этот этап разведки позволяет операторам оценить ценность цели и её уровень защиты. Однако подлинная мощь и специфика этой вредоносной программы раскрываются на следующем этапе.

Специалисты компании Netskope Threat Labs отметили в своём исследовании, что из-за серьёзной ошибки операционной безопасности (OPSEC) злоумышленников им удалось получить доступ к протокольным определениям серверной административной панели. Это дало редкую возможность заглянуть внутрь бэкенда атаки. Анализ показал, что инфраструктура построена по модели MaaS и предназначена для управления несколькими независимыми операторами. Админ-панель включает функции управления операторами с ролевым доступом, отслеживания жертв, развёртывания модулей и, что наиболее показательно, автоматического мониторинга криптовалютных кошельков на заражённых системах. Наличие интеграции с Telegram для уведомлений и системы автоматических правил указывает на зрелое криминальное предприятие, а не на инструментарий одиночного хакера.

Ключевой особенностью этой кампании является модульная архитектура, сводящая к минимуму следы на диске жертвы. Основные функции похитителя данных никогда не хранятся на жёстком диске в виде исполняемых файлов. Вместо этого сервер управления отправляет вредоносную логику в виде строк JavaScript-кода уже после установки соединения. Этот код выполняется непосредственно в памяти в изолированной песочнице Node.js. Такой подход позволяет обходить традиционные сигнатурные методы детектирования и делает программу чрезвычайно гибкой: она может выступать как в роли классического похитителя данных, так и в роли полноценного трояна удалённого доступа, исполняя произвольные команды и манипулируя файлами по указанию оператора.

Возрождение кампаний ClickFix с таким технологически продвинутым вредоносным ПО служит напоминанием об эффективности социальной инженерии как вектора первоначального проникновения. Атака демонстрирует чёткую тенденцию в развитии угроз: переход к бесфайловому или "бинарно-легковесному" выполнению, активное использование легитимных инструментов и протоколов для маскировки, а также коммерциализация криминальных операций через модели "как услуга". Организациям и пользователям необходимо усиливать осведомлённость о таких фишинговых техниках, внедрять решения для поведенческого анализа, способные обнаруживать аномальную активность легитимных процессов, и учитывать угрозы, исходящие из теневых сегментов интернета, при настройке политик сетевой безопасности.