Фишинг нового уровня: злоумышленники обманом заставляют жертв самих запускать вредоносный код

Суть метода ClickFix заключается в том, чтобы заманить жертву на поддельную веб-страницу, имитирующую необходимое действие: проверку личности (например, через reCAPTCHA), обновление программного обеспечения или решение системной ошибки. Вместо автоматической загрузки вредоносного файла страница с помощью фонового JavaScript помещает в буфер обмена жертвы зашифрованную команду или дает инструкции скопировать её вручную. Затем пользователя просят вставить и выполнить эту команду в доверенных системных утилитах, таких как диалоговое окно "Выполнить" (Win+R) или PowerShell в Windows, либо Терминал в macOS. Этот подход, известный как "жизнь за счет земли" (Living-off-the-Land, LotL), позволяет вредоносным скриптам выполняться непосредственно в памяти, минуя защиту браузера и многие средства контроля на конечных точках.

Аналитики Insikt Group, используя набор данных Recorded Future для анализа HTML-контента, который позволяет систематически отслеживать встроенные веб-артефакты, обнаружили пять активных кластеров, различающихся по тематике приманок и инфраструктуре, но следующих единой методике. Кластеры нацелены на самые разные секторы: от бухгалтерского учета и туризма до недвижимости и юридических услуг, что свидетельствует об адаптивности и широком распространении тактики.

Первый кластер, активный с января 2026 года, использует приманки, имитирующие популярное бухгалтерское программное обеспечение Intuit QuickBooks. Учитывая, что кампания совпадает с налоговым сезоном в США, эксперты с умеренной уверенностью полагают, что это было рассчитанное воздействие на организации, занятые финансовой отчетностью. Второй кластер, действующий с февраля 2026 года, выдаёт себя за туристический сервис Booking.com, предлагая жертвам пройти поддельную проверку reCAPTCHA. Третий, самый долгоживущий кластер, отслеживаемый с мая 2024 года, маскируется под платформу для маркетинга Birdeye. Четвертый кластер примечателен использованием логики определения операционной системы для выбора целевой платформы и предоставления жертвам индивидуальных инструкций для Windows или macOS. Пятый кластер эксплуатирует тему оптимизации системы, предлагая пользователям macOS выполнить команды для "очистки временных файлов", которые на самом деле ведут к загрузке вредоносного ПО.

Несмотря на визуальное разнообразие, техническое исполнение всех кластеров следует стандартизированной четырехэтапной схеме. Сначала жертва вводит или вставляет сильно закодированную строку. Затем она выполняется с помощью легитимного системного интерпретатора (PowerShell, bash, zsh). Это инициирует удаленный запрос к инфраструктуре, контролируемой злоумышленниками, для загрузки второго этапа. Наконец, загруженный контент выполняется непосредственно в памяти, что минимизирует артефакты на диске. Конечной полезной нагрузкой в наблюдаемых кампаниях часто становятся трояны удаленного доступа (RAT), такие как NetSupport RAT, или инфостилеры (похитители информации), включая Lumma Stealer и Odyssey Stealer. Методология оказалась настолько успешной, что её взяли на вооружение не только киберпреступники, но и группы, связанные с продвинутыми постоянными угрозами (APT).

Последствия успешной атаки по схеме ClickFix могут быть тяжелыми для организаций. Поскольку начальный доступ часто приводит к установке RAT, злоумышленники получают полный контроль над зараженной системой, что открывает путь к краже конфиденциальных данных, шпионажу, движению по сети и последующим разрушительным атакам, таким как развертывание программ-вымогателей. Для бизнеса это означает риск финансовых потерь, операционных простоев, репутационного ущерба и нарушения нормативных требований.

Ожидается, что методология ClickFix останется одним из основных векторов начального доступа и в 2026 году. Эксперты прогнозируют, что приманки станут технически более адаптивными, возможно, включая более изощренное определение характеристик браузера для целевой доставки полезной нагрузки. Учитывая, что злоумышленники уже документируют в своем коде методы обхода статического анализа, можно ожидать и дальнейшего совершенствования методов обфускации. В свете этой угрозы специалистам по безопасности рекомендуется сместить акцент с простого блокирования индикаторов компрометации на агрессивное укрепление поведенческой защиты. Ключевые меры включают в себя отключение диалогового окна "Выполнить" через групповые политики в корпоративных средах, внедрение ограниченного режима языка PowerShell (Constrained Language Mode) и использование политик контроля приложений для ограничения выполнения неподписанных скриптов. Не менее важным остается постоянное обучение пользователей, которые должны с подозрением относиться к любым инструкциям, требующим копирования и выполнения непонятных команд в системных утилитах.

IPv4

• 152.89.244.70
• 193.222.99.212
• 193.35.17.12
• 193.58.122.97
• 217.119.139.117
• 45.135.232.33
• 45.144.233.192
• 45.93.20.141
• 45.93.20.50
• 62.164.177.230
• 77.91.65.144
• 77.91.65.31
• 87.236.16.20
• 91.202.233.206
• 94.156.112.115

Domains

• 4freepics.com
• acconthelpdesk.com
• account-help.info
• account-helpdesk.icu
• account-helpdesk.info
• account-helpdesk.top
• accountmime.com
• accountpulse.help
• acebirdrep.com
• admin-activitycheck.com
• anthonydee.com
• apple.assistance-tools.com
• apple.diagnostic.wiki
• appmacintosh.com
• appmacosx.com
• apposx.com
• appsmacosx.com
• appxmacos.com
• ariciversontile.com
• bancatangcode.com
• bebirdrank.com
• billiardinstitute.com
• birdrankbox.com
• birdrankfx.com
• birdrankgo.com
• birdrankinc.com
• birdrankllc.com
• birdrankmax.com
• birdranktip.com
• birdrankup.com
• birdrankus.com
• birdrankusa.com
• birdrankvip.com
• birdrankzen.com
• birdrepbiz.com
• birdrepgo.com
• birdrephelp.com
• birdreplab.com
• birdrepsys.com
• birdrepusa.com
• birdrepuse.com
• bitbirdrank.com
• bitbirdrep.com
• bkng-updt.com
• checkaccountactivity.com
• checkhelpdesk.com
• checkpulses.com
• chrm-srv.com
• cryptoinfnews.com
• cryptoinfo-allnews.com
• cryptoinfo-news.com
• cryptonews-info.com
• cskhga6789.com
• customblindinstall.com
• deinhealthcoach.com
• elive123go.com
• elive777a.com
• extracareliving.com
• financementure.com
• fixbirdrank.com
• fomomforhealth.com
• getbirdrank.com
• gobirdrank.com
• grandmastertraders.traderslinkfx.com
• guypinions.com
• helpbirdrank.com
• helpbirdrep.com
• helpdeskpulse.com
• hostmaster.extracareliving.com
• hotelupdatesys.com
• infobirdrep.com
• justbirdrank.com
• macapp-apple.com
• macapps-apple.com
• macintosh-hub.com
• macosapp-apple.com
• mac-os-helper.com
• macos-storageperf.com
• macosxapp.com
• macosx-app.com
• macosx-apps.com
• macosxappstore.com
• macxapp.com
• macxapp.org
• mrinmay.net
• mybirdrank.com
• ned.coveney-ltd.com
• nhacaired88.com
• nobovcs.com
• nowbirdrank.com
• optbirdrank.com
• orkneygateway.com
• probirdrep.com
• pulse-help-desk.com
• quicrob.com
• quiptly.com
• robovcs.com
• shopifyservercloud.com
• sign-in-op-token.com
• stormac.it.com
• subsgod.com
• suedfactoring.it.com
• surecomforts.com
• theinvestworthy.com
• thepulseactivity.com
• thestayreserve.com
• topbirdrank.com
• topbirdrep.com
• traderslinkfx.com
• usbirdrank.com
• usebirdrep.com
• ustazazharidrus.com
• valetfortesla.com
• vipbirdrank.com
• visitbundala.com
• yvngvualr.com

SHA256

• 25865914ff0ec9421a5fa7dff2f680498f8893374f24d0b67a735bd8369299e9
• 2e9356948f2214fbf12ab3e873e0057fb64764cb8ed9d1c82e7ab0b3eef92a37
• 397dcea810f733494dbe307c91286d08f87f64aebbee787706fe6561ed3e20f8
• 3f8202dacab7371e760e83b7d2b8fbd5d767f5bd408ed713ab0550c83ae82933
• 43907e54cf3d1258f695d1112759b5457576481072cc76a679b8477cfeb3db87
• 56ebaf8922749b9a9a7fa2575f691c53a6170662a8f747faeed11291d475c422
• 5d821db386c7c879caeabf3e9f94c94a48eec6ec5a3a0efbae9d69da3f52c1db
• b17c3e4058aacdcc36b18858d128d6b3058e0ea607a4dc59eb95b18b7c6acc7c