Аналитики кибербезопасности из Elastic Security Labs раскрыли детали активной вредоносной кампании, получившей название ClickFix. В отличие от предыдущих атак этого типа, заканчивавшихся установкой типовых сборщиков информации, новая кампания завершается развёртыванием полнофункционального, специально разработанного троянца удалённого доступа, названного MIMICRAT. Ключевой особенностью атаки является использование цепочки из нескольких скомпрометированных легитимных веб-сайтов для доставки многоэтапного вредоносного кода, что значительно повышает скрытность операции и доверие жертв. Финальный имплант обладает широким набором возможностей для скрытого управления системой, включая кражу токенов Windows, организацию SOCKS5-туннелей и использование изменяемых профилей для командного центра.
Описание
Многоэтапная цепочка доставки через доверенные ресурсы
Кампания демонстрирует высокий уровень операционной изощрённости, начиная с метода доставки. Вместо развёртывания собственной инфраструктуры злоумышленники скомпрометировали несколько настоящих веб-сайтов. Точкой входа для жертв стал bincheck[.]io - сервис для проверки банковских идентификационных номеров. На этот сайт был внедрён вредоносный фрагмент JavaScript, который динамически загружает внешний скрипт с другого скомпрометированного ресурса - индийской инвестиционной платформы investonline[.]in. Внешний скрипт маскируется под популярную библиотеку jQuery, что помогает ему оставаться незамеченным среди легитимного трафика.
Именно этот удалённо загружаемый скрипт отображает жертве фишинговую страницу-приманку, стилизованную под проверку Cloudflare. Страница инструктирует пользователя вручную выполнить команду для «исправления» несуществующей проблемы, автоматически копируя вредоносную команду PowerShell в буфер обмена. Этот метод, известный как ClickFix, полностью обходит защитные механизмы браузера, связанные с загрузкой файлов, поскольку взаимодействие происходит через команды, вставляемые пользователем. Приманка поддерживает 17 языков, что свидетельствует о широком географическом таргетинге кампании. Среди идентифицированных жертв - университет в США и несколько китайскоязычных пользователей, что указывает на смешанное, оппортунистическое нацеливание.
Пять стадий обфускации и обхода защиты
После выполнения команды жертвой запускается сложная пятиэтапная цепочка. Первоначальная однострочная команда PowerShell, доставленная через буфер обмена, использует строковые манипуляции и арифметические операции для реконструкции домена командного центра и имён командлетов прямо во время выполнения, избегая их появления в открытом виде. Эта команда загружает скрипт второй стадии, который выполняет критически важные операции по отключению систем мониторинга.
Скрипт второй стадии использует технику отражения для прямого патча памяти. Во-первых, он отключает трассировку событий Windows, обращаясь к внутреннему полю "m_enabled" класса "System.Diagnostics.Eventing.EventProvider" и устанавливая его значение в ноль, что ослепляет механизм журналирования блоков скриптов PowerShell. Затем он выполняет обход антивирусного сканирования, манипулируя полем "amsiInitFailed" в "System.Management.Automation.AmsiUtils". В качестве дополнительной меры скрытности скрипт патчит указатель на метод "ScanContent" в памяти, перенаправляя вызовы в пустую функцию. Только после деактивации этих защитных механизмов скрипт декодирует и запускает следующий этап - загрузчик на Lua.
Третий этап представляет собой исполняемый файл, статически включающий интерпретатор Lua 5.4.7. Он расшифровывает и выполняет встроенный скрипт Lua, который, в свою очередь, декодирует и запускает в памяти четвёртую стадию - шеллкод. Анализ шеллкода показал сходство с фреймворком Meterpreter, что позволяет предположить его роль в рефлективной загрузке финальной полезной нагрузки непосредственно в оперативную память, без записи на диск.
MIMICRAT: настраиваемый троянец для скрытого контроля
Финальный имплант, MIMICRAT, представляет собой тщательно спроектированный троянец удалённого доступа, написанный на C++ и скомпилированный под архитектуру x64. Его функциональность выходит далеко за рамки типовых сборщиков данных. Троянец реализует собственную систему командного управления через HTTPS на 443 порту, маскируя трафик под легитимные веб-аналитические запросы к доменам, таким как "d15mawx0xveem1.cloudfront[.]net". Для шифрования сеансового обмена используется комбинация RSA-1024 для асимметричного обмена ключами и AES для симметричного шифрования трафика.
Арсенал MIMICRAT включает 22 команды, что превращает его в мощный инструмент для постэксплуатации. Ключевые возможности включают кражу и олицетворение токенов безопасности Windows, что позволяет импланту выполнять действия от имени других пользователей или системных процессов. Команда интерактивной оболочки обеспечивает полный контроль над консолью, а функция SOCKS5-прокси позволяет злоумышленникам использовать скомпрометированную машину в качестве плацдарма для атак на другие системы внутренней сети. Дополнительные команды обеспечивают управление файловой системой, процессами, а также инъекцию произвольного шеллкода.
Выводы и рекомендации для специалистов
Кампания ClickFix с использованием MIMICRAT наглядно демонстрирует эволюцию тактик угроз: переход от простого фишинга к сложным цепочкам, использующим доверенную инфраструктуру, и от типовых вредоносных программ к специализированным имплантам с расширенной скрытностью. Использование легитимных скомпрометированных сайтов затрудняет блокировку на уровне сетевых фильтров, а многоэтапная обфускация в памяти эффективно противодействует статическому анализу.
Для противодействия подобным угрозам организациям необходимо применять многослойный подход. Во-первых, критически важно обучать пользователей, особенно обращая внимание на социальную инженерию и методы, при которых требуется вручную выполнять команды в терминале. Во-вторых, следует ужесточить политики выполнения сценариев, например, с помощью AppLocker или аналогичных решений, ограничивающих запуск PowerShell неподписанными скриптами. В-третьих, необходимо внедрять решения для защиты рабочих станций, способные обнаруживать аномалии в поведении процессов, такие как патчинг памяти, отключение ETW или AMSI, а также рефлективную загрузку DLL. Постоянный мониторинг исходящего HTTPS-трафика на предмет аномальных паттернов, имитирующих аналитику, также может помочь в выявлении скрытых сеансов связи с командным центром. Данная кампания остаётся активной, что подчёркивает необходимость немедленного ознакомления с опубликованными индикаторами компрометации и проведения проактивного поиска угроз в корпоративных сетях.
Индикаторы компрометации
IPv4
- 23.227.202.114
- 45.13.212.250
- 45.13.212.251
Domains
- d15mawx0xveem1.cloudfront.net
- wexmri.cc
- www.ndibstersoft.com
- xmri.network
URLs
- backupdailyawss.s3.us-east-1.amazonaws.com/rgen.zip
- www.investonline.in/js/jq.php
SHA256
- 055336daf2ac9d5bbc329fd52bb539085d00e2302fa75a0c7e9d52f540b28beb
- 5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51
- a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b
- bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | rule Windows_Trojan_MimicRat { meta: author = "Elastic Security" creation_date = "2026-02-13" last_modified = "2026-02-13" os = "Windows" arch = "x86" category_type = "Trojan" family = "MimicRat" threat_name = "Windows.Trojan.MimicRat" reference_sample = "a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b" scan_type = "File, Memory" severity = 100 strings: $b_0 = { 41 8B 56 18 49 8B 4E 10 41 89 46 08 } $b_1 = { 41 FF C0 48 FF C1 48 83 C2 4C 49 3B CA } condition: all of them } |
