Новая вариация ClickFix: злоумышленники комбинируют cmdkey и regsvr32 для скрытного закрепления в системе

ClickFix (социальная инженерия, при которой пользователя просят скопировать и выполнить команду, якобы для подтверждения, что он не робот) давно известна как эффективный способ первоначального проникновения. Однако новый вариант заметно отличается от предыдущих. Вместо запуска PowerShell или скриптовых оболочек атакующие полагаются исключительно на легитимные компоненты Windows, так называемые LOLBins (living-off-the-land binaries - утилиты, уже присутствующие в системе, которые злоумышленники используют в своих целях). Такой подход резко снижает уровень шума и усложняет обнаружение стандартными средствами защиты.

Цепочка атаки: от поддельной капчи до удалённой DLL

Всё начинается с фишинговой страницы, маскирующейся под проверку CAPTCHA. Жертве предлагают нажать сочетание Win + R, затем вставить скопированную команду и нажать Enter. Команда представляет собой единую строку, которая последовательно выполняет несколько действий:

Разберём её по шагам. Сначала утилита "cmdkey" сохраняет учётные данные гостевого пользователя для удалённого доступа к серверу злоумышленников. Затем команда "start regsvr32 /s" запускает регистрацию DLL-библиотеки, расположенной на том же удалённом сервере по UNC-пути (Universal Naming Convention - стандартный формат сетевого пути в Windows). Флаг "/s" подавляет вывод сообщений, а символ "\\" указывает на сетевой ресурс. Комментарий "REM I am not a robot" призван замаскировать истинное назначение команды. Символы "&&" и "&" обеспечивают последовательное выполнение всех частей в одном процессе.

Таким образом, одного нажатия клавиш достаточно, чтобы система сохранила учётные данные для внешнего IP-адреса, загрузила и выполнила вредоносную DLL с удалённого файлового сервера. В отчёте CyberProof подчёркивается, что злоумышленники полностью отказались от сброса исполняемых файлов на диск жертвы на начальном этапе - всё происходит через сетевые пути.

Технические детали: DLL, удалённые задачи и динамическая полезная нагрузка

Загруженный файл "demo.dll" представляет собой 64-разрядную библиотеку, основная задача которой - закрепиться в системе и доставить второй этап полезной нагрузки. При регистрации через "regsvr32" DLL вызывает функцию "DllRegisterServer", которая, в свою очередь, скрыто запускает "CreateProcessA". Этот процесс создаёт запланированное задание через "schtasks".

Примечательно, что определение задания не хранится локально. Вместо этого оно загружается из удалённого XML-файла, расположенного на той же SMB-инфраструктуре атакующих (по адресу 151.245.195.142). Само задание получило безобидное имя "RunNotebookNow" - чтобы не привлекать внимания при проверке планировщика. Внутри XML-файла находится вторая ступень полезной нагрузки, которую можно менять в любой момент без необходимости переустанавливать начальную DLL. На момент публикации сервер управления был недоступен, поэтому точная природа второго этапа пока не установлена.

Такая архитектура даёт злоумышленникам значительную гибкость. Они могут менять поведение вредоносного кода, просто редактируя XML на своём сервере. При этом на атакованной системе остаётся минимальное количество артефактов: DLL, выполненная через "regsvr32", не оставляет следов в автозагрузке, а запланированное задание ссылается на внешний источник. Обнаружить такую активность традиционными сигнатурами крайне сложно.

Почему это важно для специалистов по информационной безопасности

Как отмечают в CyberProof, данный вариант ClickFix свидетельствует о продолжающемся усложнении техники. В более ранних кампаниях использовались PowerShell или rundll32, теперь же злоумышленники внедрили "cmdkey" для предварительного сохранения учётных данных. Это позволяет им получить доступ к удалённым ресурсам без повторной аутентификации, а также маскировать сетевые соединения под легитимный SMB-трафик.

Сочетание "cmdkey" и "regsvr32" представляет собой редкий пример командной цепочки, которая до недавнего времени не фиксировалась в публичных отчётах. Атакующие полагаются на утилиты, входящие в состав любой версии Windows, что делает атаку практически незаметной для решений, анализирующих только поведение подозрительных процессов. Кроме того, использование UNC-путей для загрузки DLL обходит многие политики AppLocker или WDAC, если они не настроены на блокировку сетевых загрузок.

Возможные последствия и рекомендации

Для организаций атака несёт несколько рисков. Во-первых, первоначальный доступ возможен даже при строгих политиках выполнения скриптов, так как команда выполняется через диалог "Выполнить", который часто не контролируется средствами защиты конечных точек. Во-вторых, закрепление через удалённое задание позволяет злоумышленникам сохранять доступ на протяжении длительного времени, периодически обновляя полезную нагрузку. В-третьих, использование легитимных утилит затрудняет расследование инцидентов: лоперации "cmdkey" и "regsvr32" обычно не считаются подозрительными.

Специалистам по безопасности стоит обратить внимание на следующие индикаторы компрометации: выполнение "cmd.exe" с операторами "&&" и "&", использование "cmdkey" с внешними IP-адресами, запуск "regsvr32" с UNC-путями, а также создание запланированных заданий, ссылающихся на удалённые XML-файлы. Внедрение правил обнаружения, отслеживающих подобную активность, может помочь выявить атаку на ранней стадии. Кроме того, рекомендуется ограничить возможность использования диалога "Выполнить" для обычных пользователей с помощью групповых политик, а также настроить политики блокировки загрузки DLL из внешних сетевых ресурсов.

Новый вариант ClickFix - очередное напоминание о том, что злоумышленники постоянно адаптируют свои методы, используя стандартные возможности операционной системы. Защита от таких атак требует не только сигнатурного анализа, но и поведенческого мониторинга, а также регулярного обучения сотрудников распознаванию социальной инженерии.

IPv4

• 151.245.195.142

Malicious LNK

• \\151.245.195.142\hi\777.xml
• \\151.245.195.142\hi\demo.dll

SHA256

• b2d9a99de44a7cd8faf396d0482268369d14a315edaf18a36fa273ffd5500108