Кампании социальной инженерии, известные как ClickFix, вновь демонстрируют тревожную адаптивность. Если ранее злоумышленники маскировались под проверки CAPTCHA или обновления Windows, то теперь они используют в качестве приманки фиктивные криптовалютные проекты. Новая волна атак, детально исследованная экспертами, сочетает проверенный метод обхода технических средств защиты с передовыми техниками избегания обнаружения. Речь идёт о внедрении бесфайлового бэкдора на Python, который получает инструкции напрямую из интернета, что резко снижает эффективность традиционных антивирусных решений, основанных на сигнатурах файлов.
Описание
Атака начинается с профессионально сделанного сайта, рекламирующего раздачу (airdrop) несуществующей криптовалюты $TEMU, эксплуатирующей известность одноимённой торговой площадки. Цель - заставить посетителя нажать на фальшивую кнопку «Я не робот». После этого жертва попадает в ловушку, знакомую по предыдущим кампаниям ClickFix: на экране появляется пошаговая инструкция, требующая открыть диалоговое окно «Выполнить» (Win+R), вставить содержимое буфера обмена и нажать Enter. Для убедительности злоумышленники добавили даже видеоинструкцию и имитацию значка reCAPTCHA. Однако ключевое отличие и главная опасность начинаются после нажатия клавиши ввода.
Вредоносная последовательность действий, которую пользователь запускает самостоятельно, представляет собой сложный многоступенчатый процесс. Первый этап включает сбор базовой информации о системе, такой как имя компьютера и имя пользователя. Эти данные отправляются на управляющий сервер злоумышленников, который в ответ генерирует и отправляет уникальный скрипт для PowerShell, уже содержащий идентификатор, присвоенный данной конкретной машине. Эта техника, описанная в отчёте исследователей, позволяет атакующим отслеживать каждую заражённую систему индивидуально с самого начала. Более того, генерация слегка отличающихся полезных нагрузок для разных жертв подрывает основы традиционного сигнатурного обнаружения, так как у защитных решений нет единого стабильного образца файла для блокировки.
Следующий этап - развёртывание основной вредоносной нагрузки. Вместо статичного исполняемого файла злоумышленники используют автономный дистрибутив среды выполнения Python, который не требует прав администратора для установки. Запускается скрытая версия интерпретатора (pythonw.exe), не создающая видимого окна. Главная инновация заключается в логике работы бэкдора: вместо выполнения зафиксированного на диске скрипта, скрытый процесс периодически обращается к командному серверу, получает свежий фрагмент кода на Python и выполняет его непосредственно в оперативной памяти. Такой подход, известный как «живущий в памяти» или бесфайловый, позволяет атакующим мгновенно менять функционал вредоносной программы для разных жертв, не оставляя на диске устойчивых артефактов для анализа.
Возможности такого бэкдора ограничиваются лишь фантазией операторов. Анализ схожих кампаний показывает, что злоумышленники используют подобный доступ для кражи учётных данных и сессионных файлов cookie из браузеров, записи нажатий клавиш, создания скриншотов и продвижения по корпоративной сети. Присутствие в инфраструктуре механизма оповещения через Telegram о новых жертвах указывает на высокий уровень автоматизации. Использование Python в качестве платформы для атаки добавляет ей скрытности, так как легитимный трафик от этого интерпретатора часто разрешён корпоративными сетевыми экранами и системами мониторинга, поскольку используется разработчиками для рабочих задач. Обнаружение такой активности требует не анализа файлов, а поведенческого мониторинга процессов и сетевой активности.
Эволюция ClickFix наглядно демонстрирует сдвиг тактики киберпреступников от обхода технических средств защиты к усложнению пост-эксплуатационной фазы. Если ранее они меняли способ доставки, переходя с PowerShell на утилиты вроде nslookup, то теперь фокус сместился на минимизацию следов в файловой системе. Динамическая загрузка кода и уникализация полезных нагрузок делают эту угрозу особенно коварной. Для защиты специалистам по информационной безопасности рекомендуется внедрять решения класса EDR, способные отслеживать аномальное поведение процессов, такие как создание скрытых Python-интерпретаторов в пользовательских каталогах AppData или необычные сетевые подключения из этих процессов. Крайне важна и регулярная тренировка осведомлённости пользователей, которых следует учить никогда не выполнять команды, скопированные с непроверенных сайтов, независимо от убедительности подачи. Простые меры, такие как отказ от копирования-вставки недоверенных инструкций и использование браузерных расширений, блокирующих несанкционированный доступ к буферу обмена, могут прервать атаку на самом раннем этапе.
Индикаторы компрометации
Domains
- temucoin.lat
