Киберпреступники массово используют фишинговые наборы ClickFix для обхода систем защиты

Феномен коммодитизации техники ClickFix следует общей тенденции развития фишинга как услуги, значительно снижая требуемый уровень навыков и усилий для проведения успешных атак. Специалисты обнаружили фишинговый набор под названием IUAM ClickFix Generator, который автоматизирует создание таких атак. Данный инструмент предназначен для генерации высоконастраиваемых фишинговых страниц, которые заманивают жертв, имитируя проверочные задания браузера, обычно используемые для блокировки автоматического трафика.

Набор включает расширенные функции, такие как определение операционной системы и внедрение в буфер обмена, что позволяет осуществлять кроссплатформенное развертывание вредоносного программного обеспечения с минимальными усилиями. Зафиксирована как минимум одна кампания, в которой злоумышленники использовали страницы, сгенерированные IUAM ClickFix Generator, для распространения вредоносной программы DeerStealer. Наблюдение за другими страницами с незначительными техническими и визуальными отличиями указывает на более масштабную тенденцию, свидетельствующую о формировании растущей коммерческой экосистемы для монетизации этой техники через конкурирующие фишинговые наборы в стиле ClickFix.

Аналитики идентифицировали публично доступный генератор фишинговых наборов, размещенный на HTTP-сервере. Этот инструмент позволяет злоумышленникам создавать высоконастраиваемые фишинговые страницы, имитирующие поведение страницы проверки браузера, обычно развертываемой сетями доставки контента и облачными провайдерами безопасности для защиты от автоматизированных угроз. Поддельный интерфейс разработан так, чтобы выглядеть легитимным для жертв, повышая эффективность приманки.

Злоумышленник может настроить каждую деталь через простой пользовательский интерфейс, включая конфигурацию сайта и сообщений, настройку буфера обмена, блокировку мобильных устройств и расширенные параметры. Расширенные настройки включают методы обфускации и автоматическое внедрение JavaScript для копирования в буфер обмена, а также определение операционной системы для адаптации команд под Windows или macOS.

Проведенный анализ показывает, что злоумышленники использовали идентифицированный фишинговый набор для создания серии фишинговых страниц в стиле ClickFix. Эти страницы объединяет consistent визуальный стиль, подделывающий проверочные задания браузера, обычно развертываемые CDN и платформами веб-безопасности. Страницы также используют адаптированное определение операционной системы и механизмы копирования команд для социальной инженерии жертв с целью ручного выполнения вредоносных нагрузок.

Однако не все идентифицированные фишинговые страницы имеют одинаковую структуру или поведение. В то время как подтвержден как минимум один случай, когда атакующие доставляли DeerStealer используя страницу, сгенерированную этим инструментом, также наблюдались другие фишинговые страницы, которые незначительно отличаются в технической реализации и визуальном дизайне. Эти различия включают структурные вариации в HTML/DOM-компоновке, модифицированные или полностью различные механизмы копирования команд, отсутствие специфической логики JavaScript и упрощенную или несогласованную подделку страниц проверки браузера.

Эти несоответствия предполагают существование множества вариантов набора ClickFix или возможное наличие отдельных фишинговых инструментов, вдохновленных одной концепцией приманки, но построенных независимо или производных от более ранних версий. Примеры демонстрируют диапазон фишинговых страниц ClickFix, каждая из которых показывает немного разные уровни сложности, поведения и механизмов доставки.

В одной из кампаний атакующие настроили набор для целенаправленной атаки на пользователей Windows. Злоумышленник не включил логику определения операционной системы в эту настройку, в результате чего страница не была настроена для предоставления альтернативных команд или специфических инструкций для пользователей macOS или других неподдерживаемых систем. Когда жертва взаимодействует с элементом CAPTCHA, нажатие на флажок для определения человеческой природы запускает фоновый JavaScript, копирующий вредоносную команду PowerShell в буфер обмена. Одновременно появляется всплывающее окно с инструкциями открыть диалоговое окно выполнения Windows, вставить содержимое из буфера обмена и выполнить команду.

В другом случае злоумышленник развернул три вариации фишинговой страницы, которые в конечном итоге приводят к доставке похитителя данных Odyssey для пользователей macOS и пока не идентифицированного вредоносного программного обеспечения для пользователей Windows. Каждая версия фишинговой страницы определяет операционную систему жертвы через JavaScript и доставляет соответствующую вредоносную нагрузку. В много платформенных вариантах атакующие обслуживают пользователей Windows вредоносной командой PowerShell, предназначенной для загрузки и выполнения неидентифицированного штамма вредоносного программного обеспечения, а пользователям macOS предоставляют команду в кодировке Base64 для доставки Odyssey.

Обнаружение IUAM ClickFix Generator предоставляет уникальную возможность заглянуть в инструментарий, который снижает порог входа для киберпреступников, позволяя им запускать сложные много платформенные атаки без глубоких технических знаний. Эффективность техники ClickFix основывается на эксплуатации инстинкта пользователя следовать инструкциям на экране от, как кажется, доверенного провайдера безопасности. Эта угроза подчеркивает важность осведомленности и бдительности пользователей.

IPv4

• 185.93.89.62
• 194.26.29.217
• 45.135.232.33
• 45.146.130.129
• 45.146.130.131
• 45.146.130.132
• 83.222.190.214
• 88.214.50.3

Domains

• 365-drive.com
• apposx.com
• asmicareer.com
• Charge0x.at
• claudflurer.com
• cloudlare-lndex.com
• coffeyelectric.com
• Creatorssky.com
• crm.jskymedia.com
• Cryptoinfnews.com
• Cryptoinfo-allnews.com
• Cryptoinfo-news.com
• Dactarhome.com
• Emailreddit.com
• evodigital.com.au
• favorite-hotels.com
• financementure.com
• fudgeshop.com.au
• Greenpropertycert.com
• Growsearch.in
• ibs-express.com
• Macosapp-apple.com
• Macosxappstore.com
• Odyssey1.to
• Odyssey-st.com
• Pixelline.in
• quirkyrealty.com
• sdojifsfiudgigfiv.to
• Sharanilodge.com
• Sifld.rajeshmhegde.com
• speedtestcheck.org
• teamsonsoft.com
• techinnovhub.co.za
• tradingview.connect-app.us.com
• tradingviewen.com
• treadingveew.last-desk.org
• ttxttx.com
• watchlist-verizon.com

SHA256

• 00c953a678c1aa115dbe344af18c2704e23b11e6c6968c46127dd3433ea73bf2
• 029a5405bbb6e065c8422ecc0dea42bb2689781d03ef524d9374365ebb0542f9
• 039f82e92c592f8c39b9314eac1b2d4475209a240a7ad052b730f9ba0849a54a
• 081921671d15071723cfe979633a759a36d1d15411f0a6172719b521458a987d
• 2b74674587a65cfc9c2c47865ca8128b4f7e47142bd4f53ed6f3cb5cf37f7a6b
• 397ee604eb5e20905605c9418838aadccbbbfe6a15fc9146442333cfc1516273
• 3aee8ad1a30d09d7e40748fa36cd9f9429e698c28e2a1c3bcf88a062155eee8c
• 6e4119fe4c8cf837dac27e2948ce74dc7af3b9d4e1e4b28d22c4cf039e18b993
• 72633ddb45bfff1abeba3fc215077ba010ae233f8d0ceff88f7ac29c1c594ada
• 7765e5e0a7622ff69bd2cee0a75f2aae05643179b4dd333d0e75f98a42894065
• 7881a60ee0ad02130f447822d89e09352b084f596ec43ead78b51e331175450f
• 7a8250904e6f079e1a952b87e55dc87e467cc560a2694a142f2d6547ac40d5e1
• 816bf9ef902251e7de73d57c4bf19a4de00311414a3e317472074ef05ab3d565
• 82b73222629ce27531f57bae6800831a169dff71849e1d7e790d9bd9eb6e9ee7
• 8ed8880f40a114f58425e0a806b7d35d96aa18b2be83dede63eff0644fd7937d
• 9090385242509a344efd734710e60a8f73719130176c726e58d32687b22067c8
• 966108cf5f3e503672d90bca3df609f603bb023f1c51c14d06cc99d2ce40790c
• 9c5920fa25239c0f116ce7818949ddce5fd2f31531786371541ccb4886c5aeb2
• ba5305e944d84874bde603bf38008675503244dc09071d19c8c22ded9d4f6db4
• cd78a77d40682311fd30d74462fb3e614cbc4ea79c3c0894ba856a01557fd7c0
• d110059f5534360e58ff5f420851eb527c556badb8e5db87ddf52a42c1f1fe76
• d375bb10adfd1057469682887ed0bc24b7414b7cec361031e0f8016049a143f9
• d81cc9380673cb36a30f2a84ef155b0cbc7958daa6870096e455044fba5f9ee8
• ead6b1f0add059261ac56e9453131184bc0ae2869f983b6a41a1abb167edf151
• f2a068164ed7b173f17abe52ad95c53bccf3bb9966d75027d1e8960f7e0d43ac
• fe8b1b5b0ca9e7a95b33d3fcced833c1852c5a16662f71ddea41a97181532b14