Киберпреступники внедряют технику Paste-Jacking для удаленного выполнения кода на устройствах жертв

Атака начинается с того, что пользователь видит на веб-странице интерфейс, напоминающий reCAPTCHA или проверку "Подтвердите, что вы человек". При этом скрытый JavaScript-код автоматически копирует вредоносный скрипт в буфер обмена пользователя. Далее жертве предлагается нажать комбинацию клавиш Win + R, чтобы открыть диалоговое окно "Выполнить", и затем Ctrl + V для вставки содержимого буфера. В результате выполняется команда запуска mshta.exe или аналогичной утилиты с переданным зловредным скриптом.

Специалисты Truesec отмечают постоянную эволюцию данной методики. В частности, появились варианты, где инструкции по выполнению скрипта показываются не сразу, а только после сообщения об ошибке проверки reCAPTCHA. Типичное сообщение содержит текст: "Проверка не пройдена - Ошибка сети", с дальнейшим объяснением, что "DNS сети может быть нестабильным, вызывая ошибки", и инструкцией по "исправлению" через комбинации Win + R и Ctrl + V.

Параллельно эксперты наблюдают рост атак ClickFix, нацеленных на пользователей macOS. Хотя операционная система отличается, основная схема атаки сохраняет схожесть с описанными методами. Недавняя публикация SecurityWeek подтверждает актуальность этой угрозы для экосистемы Apple.

После успешного выполнения скрипта исследователи фиксируют установление соединения с контролируемыми злоумышленниками серверами. Затем следуют изменения в системном реестре Windows и загрузка вредоносной программы Lumma Stealer, предназначенной для кражи конфиденциальных данных.

По данным расследования, за данной кампанией с высокой вероятностью стоит известная группа Evil Corp, которая также ответственна за распространение таких угроз как SocGholish и Raspberry Robin. Эта преступная организация демонстрирует постоянную адаптацию своих методов атак.

Техника paste-jacking была обнаружена в инфраструктурах множества организаций-клиентов Truesec. Все пострадавшие компании получили соответствующие инцидент-отчеты с деталями атаки. Важно отметить, что эта методика продолжает распространяться среди различных киберпреступных группировок.

В качестве защитных мер специалисты рекомендуют проводить обучение пользователей о развивающихся фишинговых техниках. Особое внимание следует уделить информированию о рисках выполнения непроверенных команд. Для снижения угрозы paste-jacking целесообразно рассмотреть возможность отключения команды "Выполнить" (Win + R) через групповые политики (GPO).

Перед внедрением этого ограничения в производственной среде необходимо провести внутреннюю оценку на предмет совместимости с операционными потребностями организации. По опыту Truesec, в большинстве случаев такое изменение не вызывает существенных проблем в работе. Однако каждый случай требует индивидуального рассмотрения.

Эксперты предупреждают, что paste-jacking представляет собой относительно новую технику, которая активно используется киберпреступниками. Ожидается дальнейшее увеличение количества атак с применением этого метода. Следовательно, организациям следует заблаговременно принимать превентивные меры защиты.

Особую озабоченность вызывает сочетание социальной инженерии и технических элементов в данной атаке. Злоумышленники искусно манипулируют пользователями, заставляя их самостоятельно выполнить вредоносный код. Поэтому помимо технических средств защиты критически важным остается фактор осведомленности пользователей.

Регулярное обучение и повышение киберграмотности сотрудников становятся неотъемлемой частью комплексной безопасности организаций. При этом технические контрмеры должны обеспечивать дополнительный уровень защиты на случай человеческой ошибки. Такой многоуровневый подход позволяет эффективно противостоять современным киберугрозам.

URLs

• 80.64.30.238/evix.xll
• http://185.149.146.164/trwsfg.ps1
• https://captha-secure.com/capcha.html