Киберпреступники внедряют поддельные CAPTCHA на взломанных и фишинговых сайтах, чтобы обманом заставить жертв запустить вредоносный код. Эта методика, известная как ClickFix, эксплуатирует усталость пользователей от проверочных заданий и приводит к заражению инфостилерами и троянами удаленного доступа.
Описание
Атака начинается с того, что пользователю предлагают решить CAPTCHA, после чего скрытый скрипт копирует в буфер обмена команду для PowerShell или mshta.exe. Жертву просят вставить её в окно «Выполнить», что запускает загрузку вредоносных payload-ов, таких как Lumma Stealer, NetSupport RAT и SectopRAT.
Злоумышленники распространяют поддельные CAPTCHA через взломанные сайты, фишинговые страницы, email-вложения и сообщения в соцсетях. По данным экспертов, атаки ClickFix активно развиваются последние 8–12 месяцев, сочетая социальную инженерию с использованием легитимных системных инструментов для обхода защиты.
Специалисты рекомендуют пользователям быть внимательными при решении CAPTCHA и не выполнять подозрительные инструкции, требующие вставки команд в системные утилиты.
Индикаторы компрометации
IPv4
- 104.26.1.231
- 108.170.60.188
- 141.193.213.10
- 141.193.213.11
- 188.245.205.83
- 23.227.203.162
- 23.254.144.106
- 65.109.226.176
- 65.38.120.47
- 94.247.42.153
Domains
- andrixdesign.com
- b-cdn.net
- bidder-horizontal-wildlife-invoice.trycloudflare.com
- bristol-weed-martin-know.trycloudflare.com
- cubawebcars.com
- geo.netsupportsoftware.com
- musicians-forestry-operation-angels.trycloudflare.com
- name-kw-papua-booking.trycloudflare.com
- peter-secrets-diana-yukon.trycloudflare.com
- selbe.ar
- zoloft-indianapolis-riders-convinced.trycloudflare.com
