В сфере информационной безопасности простые методы начального доступа, такие как фишинг, часто становятся трамплином для сложных многоступенчатых атак. Недавно обнаруженная кампания, получившая название OCRFix, наглядно демонстрирует эту тенденцию. Злоумышленники объединили старый трюк с социальной инженерией, известный как ClickFix, с продвинутыми техниками обфускации и использованием блокчейн-технологий для создания устойчивой бот-сети. Эта история важна не только для специалистов по безопасности, но и для обычных пользователей, поскольку атака начинается с поддельной версии популярного бесплатного инструмента.
Описание
Аналитики компании CYJAX обнаружили фишинговую кампанию, основанную на тайпсквоттинге - регистрации домена, похожего на легитимный. Злоумышленники создали сайт tesseract-ocr[.]com, имитирующий страницу известного инструмента оптического распознавания символов (OCR) Tesseract OCR, который не имеет официального сайта и распространяется через GitHub. Это сделало его идеальной мишенью для подмены. Посетителям сайта предлагалось пройти проверку CAPTCHA, после чего в их буфер обмена автоматически копировалась вредоносная команда для PowerShell, маскирующаяся под процесс «верификации».
Механизм атаки, известный как ClickFix, заставляет жертву самостоятельно выполнить вредоносный код, обходя базовые защиты. В данном случае команда PowerShell, загруженная с помощью объекта Net.WebClient, получала с домена opsecdefcloud[.]com первый вредоносный файл в формате MSI. Однако настоящая изощренность кампании проявилась на следующих этапах. Для управления инфраструктурой злоумышленники применили технику EtherHiding, разместив адреса командных серверов (C2, от англ. Command and Control) в смарт-контрактах на тестовой сети BNB Smart Chain. Это позволило им гибко менять адреса C2 в случае их блокировки, используя для запросов легитимный сервис PublicNode. Подобные методы ранее отмечались в атаках, связанных с северокорейской группировкой UNC5342.
Доставленный вредоносный код использовал многоэтапную схему. Первый файл, маскирующийся под обновление (Update1.exe), загружал второй этап. Второй исполняемый файл (setup_helper.exe) отвечал за получение стойкости в системе через создание запланированной задачи и отключение защитных механизмов Windows, таких как BitLocker и модуль доверенной платформы (TPM), а также добавление исключений в Microsoft Defender. Третья, финальная стадия (CfgHelper.exe), представляла собой бот-агента, который каждые 60 секунд отправлял информацию о системе (имя устройства, IP-адреса, UUID) на управляющий сервер и ожидал дальнейших команд.
Анализ сервера ldture[.]com выявил веб-интерфейс для управления зараженными устройствами. Панель позволяла злоумышленнику просматривать активных ботов и создавать для них задачи, например, на загрузку и выполнение дополнительных скриптов или вредоносных DLL-библиотек. В коде страницы были обнаружены комментарии на кириллице, что может указывать на возможное происхождение угрозы, однако для уверенной атрибуции данных недостаточно. Кроме того, исследователи нашли признаки использования больших языковых моделей (LLM) для генерации кода сайта и возможного отравления поисковой выдачи ChatGPT, чтобы искусственный интеллект рекомендовал пользователям фишинговый ресурс.
Успешная атака приводит к полному компрометированию рабочей станции, которая становится частью управляемой бот-сети. Это дает злоумышленникам возможность использовать зараженные компьютеры для рассылки спама, проведения DDoS-атак, добычи криптовалюты или последующего проникновения в корпоративную сеть. Использование легитимных инструментов (PowerShell, VbsEdit Script Launcher) и техник обхода защиты значительно затрудняет обнаружение угрозы традиционными сигнатурными методами.
Кампания OCRFix служит напоминанием о том, что даже простые векторы атак могут вести к серьезным последствиям. Для защиты организациям необходимо применять многоуровневый подход. Во-первых, критически важны регулярное обучение сотрудников, позволяющее распознавать фишинговые техники вроде ClickFix. Во-вторых, следует внедрять технические меры, такие как ограничение исполнения сценариев PowerShell для обычных пользователей, использование механизмов контроля приложений (Application Control) и решений класса EDR (Endpoint Detection and Response), способных обнаруживать аномальное поведение. Мониторинг сетевой активности на предмет подключений к необычным доменам или публичным блокчейн-сервисам также может помочь в выявлении подобных сложных атак. В конечном счете, защита должна строиться на принципе «глубокой эшелонированной обороны», где человеческий фактор и технологические решения дополняют друг друга.
Индикаторы компрометации
Domains
- bsc-testnet.publicnode.com
- checkpointviewzen.com
- dltruek.com
- dltucra.com
- ldture.com
- ldveriz.com
- oklefe.com
- opsecdefcloud.com
- tesseract-ocr.com
SHA1
- 4496afeb004df243b656d620f76ffdceef00b345
- 507e814c39b200b05f596d9569675aeb6c25ab4a
- 96f2c607aec4432ccc7b762f9927c91ee04fb0e3
- af6bbae2933e65d632f4f4624315c00d205bf6f7
- c519a422d68e8d93f2b98ecb3fa064398045535e
