Киберпреступники активно развивают тактику социальной инженерии, используя методы, напоминающие атаки ClickFix, но с усложнёнными векторами проникновения. Недавно исследователи обнаружили кампанию, которая начинается как классическая ClickFix-атака с поддельной Cloudflare Turnstile, но затем перерастает в многоступенчатую схему заражения с использованием поддельного установщика AnyDesk и в конечном итоге доставляет на устройство жертвы мета-стилер MetaStealer.
Описание
ClickFix-атаки, активно наблюдающиеся более года, основаны на том, что злоумышленники убеждают пользователей в необходимости «исправить» проблему, часто связанную с прохождением CAPTCHA. Жертве предлагается скопировать и выполнить команду, которая незаметно запускает вредоносный код. Вариации этой техники, такие как FileFix, используют не диалоговое окно «Выполнить» Windows, а проводник файлов.
В данном случае атака начиналась с письма, предлагающего скачать AnyDesk по ссылке, ведущей на поддельную страницу anydeesk[.]ink. На сайте размещался фейковый Cloudflare Turnstile - инструмент верификации, предназначенный для отличия людей от ботов. После нажатия на кнопку верификации пользователь перенаправлялся не в Run или PowerShell, как в классической ClickFix-атаке, а в проводник Windows через протокол search-ms.
Через search-ms URI жертва попадала на управляемый злоумышленниками SMB-ресурс, где ей предлагалось открыть файл «Readme Anydesk.pdf», который на самом деле являлся LNK-ярлыком. Его выполнение инициировало несколько процессов: загрузку легитимного установщика AnyDesk через Microsoft Edge (вероятно, для отвлечения внимания) и скачивание вредоносного MSI-пакета с домена chat1[.]store.
Особенностью атаки стало использование переменной окружения %COMPUTERNAME% для формирования субдомена, что позволяло автоматически получать hostname системы жертвы без предварительного сбора данных. MSI-пакет содержал DLL-библиотеку и CAB-архив, в котором находились скрипт для очистки следов и исполняемый файл ls26.exe - дроппер MetaStealer.
Мета-стилер MetaStealer, известный с 2022 года, предназначен для кражи учётных данных, файлов и данных криптокошельков. Обнаруженный образец был защищён упаковщиком Private EXE Protector и демонстрировал поведение, характерное для ранее известных версий.
Данная кампания демонстрирует, как злоумышленники комбинируют социальную инженерию с легитимными функциональностями ОС, такими как протокол search-ms, SMB-ресурсы и MSI-пакеты, чтобы обойти стандартные средства защиты. Традиционные меры противодействия ClickFix, такие как ограничение использования окна «Выполнить», в данном случае оказываются неэффективными.
Организациям рекомендуется усиливать осведомлённость пользователей о подобных угрозах, обучать их распознаванию фишинговых сценариев с просьбами скопировать команды или использовать проводник Windows для выполнения действий, инициированных через веб-страницы. Важно также применять комплексные решения для мониторинга сетевой активности и анализа подозрительных процессов, особенно связанных с нестандартными URI-протоколами и удалёнными ресурсами.
Индикаторы компрометации
IPv4
- 38.134.148.74
Domains
- cmqsqomiwwksmcsw.xyz
- macawiwmaacckuow.xyz
- yeosyyyaewokgioa.xyz
URLs
- https://anydeesk.ink/download/anydesk.html
SHA256
0fc76b7f06aa80a43abafc1e9b88348734e327feb306d700c877c6a210fbd5e7
513992d7076984d5c5a42affc12b6a00eef820f3254af75c9958ef3310190317
fd622cf73ea951a6de631063aba856487d77745dd1500adca61902b8dde56fe1
