Кампания MIMICRAT ClickFix: как злоумышленники заменяют технические эксплойты на социальную инженерию, заставляя жертв самих установить вредоносную программу

Суть атаки, получившей название ClickFix, заключается в симуляции знакомого пользователям процесса верификации. Жертва, перейдя по ссылке из фишингового письма или оказавшись на скомпрометированном легитимном сайте, видит сообщение о том, что система обнаружила «подозрительную активность». Для продолжения работы, как утверждает страница, необходимо пройти проверку. Однако вместо стандартного поля с искажёнными символами CAPTCHA (системы проверки, позволяющей отличить человека от робота) пользователю показывают чёткую инструкцию: нажать комбинацию клавиш Win+R, чтобы открыть диалоговое окно «Выполнить», вставить в него заранее скопированный код и нажать Enter. Этот код, который сайт автоматически помещает в буфер обмена, является не безобидной командой, а тщательно замаскированным сценарием PowerShell.

Исполнение этой команды запускает цепочку заражения. PowerShell, мощный инструмент автоматизации в среде Windows, используется здесь во зло. Сценарий, выполняясь прямо в памяти системы (техника «living off the land»), обращается к удалённому серверу злоумышленников, загружает загрузчик MIMICRAT, расшифровывает и запускает основную вредоносную полезную нагрузку. Этот подход, известный как «безфайловая» атака, позволяет избежать записи подозрительных исполняемых файлов на диск, что значительно затрудняет обнаружение традиционными антивирусными средствами, работающими по сигнатурам.

После успешного проникновения MIMICRAT обеспечивает себе закрепление в системе. Для этого он использует несколько механизмов, включая создание записей в автозагрузке реестра Windows, настройку заданий в Планировщике заданий и подписку на события через инструментарий управления Windows (WMI). Получив постоянный доступ, вредоносная программа начинает свою деструктивную деятельность. Её функционал включает сбор учётных данных из браузеров и памяти процессов, захват снимков экрана, ведение журнала нажатий клавиш (кейлоггинг), а также возможность загрузки и выполнения дополнительных модулей, таких как сборщики конфиденциальной информации. Всё это предоставляет операторам кампании возможности для удалённого управления системой, перемещения внутри корпоративной сети и последующей эксфильтрации данных.

С точки зрения технического анализа, кампания демонстрирует высокий уровень изощрённости в области обфускации и уклонения от обнаружения. Полезная нагрузка кодируется в формате Base64, а команды разбиваются на части и собираются в переменных во время выполнения, что усложняет статический анализ. Инфраструктура управления активно ротирует используемые домены, что позволяет быстро менять адреса серверов в случае их блокировки. Главная же сила этой атаки заключается не в технической сложности, а в психологической точности. Она эксплуатирует доверие пользователей к привычным элементам интерфейса и их желание быстро решить возникшую проблему, обходя таким образом даже самые совершенные технические средства защиты периметра.

Эксперты оценивают риск от кампании MIMICRAT ClickFix как высокий. Её эффективность обусловлена прямым использованием легитимных системных инструментов, что делает её незаметной для решений, ориентированных на блокировку известных эксплойтов. Основная слабость схемы - её зависимость от действий конечного пользователя - одновременно является и ключевым вектором для защиты. Проактивное информирование сотрудников о подобных тактиках может кардинально снизить вероятность успешного заражения. В качестве практических мер специалисты по информационной безопасности рекомендуют внедрять строгие политики контроля за выполнением сценариев, включая ограничение использования PowerShell для рядовых пользователей и обязательное ведение детальных журналов его активности. Мониторинг событий безопасности должен быть настроен на обнаружение аномальных вызовов PowerShell, особенно тех, которые связаны с выполнением длинных строк, закодированных в Base64, из пользовательского контекста. Не менее важны классические, но оттого не менее действенные меры: фильтрация фишинговых писем, обязательное использование многофакторной аутентификации для всех учётных записей и регулярное обновление как операционных систем, так и средств защиты конечных точек с активированными функциями поведенческого анализа.

Кампания MIMICRAT ClickFix наглядно иллюстрирует эволюцию киберугроз, где фокус атак смещается с прорыва технологических барьеров на манипуляцию человеческим поведением. Это служит очередным напоминанием для организаций любого масштаба о том, что самым уязвимым звеном в цепи безопасности по-прежнему остаётся человек, а значит, инвестиции в его обучение и повышение осведомлённости - это не второстепенная задача, а критически важный компонент комплексной стратегии защиты.

IPv4

• 45.13.212.250

Domains

• investonline.in
• wexmri.cc
• www.investonline.in
• www.ndibstersoft.com
• xmri.network

MD5

• 5d14aa8bbfb6c505800a5fe17769334a
• 85eda483941b11ddcdad3d8b0cdfd702
• 9c48d9bf0b48260ce529156069eeb88d
• c55a38222841ccdaa943c289ece55701

SHA1

• 472d725ae60c4ae141ff53fe175abb80f6f1d7af
• 5dc6a659001d320f42ed06401d15770c7c159031
• 672da4a2fb54964ea52eba5e5e35b8e244f8567a
• a4ce2eaeb144328c973e99614662a772b998faf6
• e2ac078090bb66be60344c5d0e74eb621d88d8de

SHA256

• 055336daf2ac9d5bbc329fd52bb539085d00e2302fa75a0c7e9d52f540b28beb
• 5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51
• a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b
• bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1