Каждый день миллионы людей открывают онлайн-сервисы для простых задач: убрать фон с фото, конвертировать PDF или проверить текст на плагиат. Обычный пользователь не подозревает, что именно эти, казалось бы, безобидные сайты становятся дверью в его систему. Исследователи информационной безопасности обнаружили активную вредоносную кампанию, которая эксплуатирует доверие пользователей к знакомым интерфейсам и давно забытый сетевой протокол. Речь идёт о схеме ClickFix, которая на момент написания материала продолжает действовать.
Описание
Сценарий атаки выглядит обманчиво простым. Жертва заходит на сайт, который предлагает бесплатный инструмент - детектор контента, созданного искусственным интеллектом, сервис удаления фона или конвертер документов. Перед тем как получить результат, сайт просит пройти проверку, имитирующую reCAPTCHA. Нажатие на эту поддельную кнопку запускает механизм внедрения в буфер обмена: в память пользователя копируется строка, закодированная в base64. Обычное копирование, которое мы совершаем десятки раз в день, в этот раз оказывается ловушкой. На странице появляется инструкция нажать Win+R и вставить скопированный текст. Человек выполняет привычную команду запуска - и запускает вредоносный сценарий прямо на своей машине.
Специалисты по информационной безопасности обнаружили как минимум двенадцать доменов, выступающих в роли приманок. Они охватывают четыре темы подмены: детекторы содержимого ИИ, инструменты удаления фона, конвертеры PDF и поддельную страницу под брендом LinkedIn с изменённым написанием. Все эти сайты объединяет одна конструкция: они используют идентичный механизм инъекции в буфер обмена. Внутри скопированной команды оказывается обращение к протоколу finger.
Здесь кроется ключевая уязвимость, на которую делают ставку злоумышленники. Протокол finger - это легитимная служебная утилита Windows, предназначенная для получения информации о пользователе удалённой системы. Она работает через порт 79/TCP, который почти никогда не блокируется межсетевыми экранами и крайне редко попадает под мониторинг со стороны систем обнаружения вторжений. Команда finger не вызывает подозрения у антивирусов и EDR-систем (программных комплексов для обнаружения угроз и реагирования на конечных точках). Именно эта "невидимость" делает её идеальным каналом для скрытной передачи управляющих команд.
Злоумышленники организовали инфраструктуру так, чтобы полностью скрыть свои намерения. Сценарий, попавший в буфер обмена, запускает окно командной строки в свёрнутом режиме. Команда finger, выполняясь, обращается к серверу управления и контроля (C2) и извлекает оттуда полезную нагрузку - набор инструкций для дальнейшего заражения. Чтобы жертва заподозрила неладное, после завершения операции на экран выводится поддельное сообщение с призывом нажать Enter, имитирующее окончание обычной проверки. В разных версиях сценария используются разные параметры пропуска строк (skip), чтобы добраться именно до вредоносных инструкций.
Инфраструктура кампании построена профессионально. За время её работы сменилось шесть доменов для C2-серверов. Интересная деталь: имена серверов следуют "кулинарной" схеме с упоминанием рецептов и еды. Например, зафиксированы адреса dailyhomreciple[.]com, steakhomireciple[.]com и cheeshomireciple[.]com. Для поддельной страницы LinkedIn использовался отдельный сервер. Каждый C2-сервер использует уникальное имя пользователя finger (всего обнаружено шесть строк, например lxjXZGpPHp и KqglRkqeNn), что позволяет точно идентифицировать, какой сервер обслуживает какую группу сайтов-приманок. Техника "подмены" зашла очень далеко: сайты, маскирующиеся под сервис удаления фона, визуально неотличимы от оригинала remove.bg. Пиксельная точность клонирования заставляет пользователя полностью доверять ресурсу.
Цепочка атаки продумана до мелочей. Пользователь приходит на сайт с обещанием бесплатного инструмента. Поддельная reCAPTCHA активирует вставку в буфер обмена. Человек сам выполняет команду Win+R и вставляет текст. Протокол finger приносит полезную нагрузку, которая исполняется в свёрнутом окне. Весь процесс выглядит как обычная проверка, от которой ни один специалист по безопасности не ждёт угрозы.
Последствия такой атаки могут быть самыми серьёзными - от внедрения программ-вымогателей до кражи учётных данных и установки скрытого доступа. Для специалистов по защите этот инцидент подчёркивает необходимость включить в мониторинг трафик на порт 79 и обращать внимание на активность finger-утилиты. Пользователям же стоит запомнить одно правило: никогда не вставлять скопированный текст из браузера в окно запуска команд, даже если сайт требует подтвердить, что вы человек. Кажущаяся защита от ботов может стать проводником к потере данных и денег.
Индикаторы компрометации
Domains
- ai-detect.online
- ai-scan.digital
- backgroundformat.online
- background-ready.online
- bg-go.online
- bg-ready.online
- bg-removerok.online
- bg-transparency.online
- cheeshomireciple.com
- dailyhomreciple.com
- finger.linked-on.com
- groceryhomrecipes.com
- linked-on.com
- pdf-work.online
- pdfworker.online
- pqrnews.com
- steakhomereciple.com
- steakhomireciple.com
