Новая волна атак ClickFix: социальная инженерия под прикрытием поддельного Booking

Кампания началась с привлечения потенциальных жертв на вредоносную веб-страницу, размещённую на управляемом атакующими домене. Попасть на неё можно было через фишинговое письмо или вредоносную рекламу. Однако ключевой элемент убедительности заключался в визуальном исполнении: страница копировала стиль известного сервиса Booking.com и предлагала пользователю пройти капчу с надписью "Я не робот". Сама по себе капча была подделкой - мигающая галочка и анимация лишь создавали иллюзию проверки. За этой безобидной картинкой скрывался полноценный вредоносный код, написанный на JavaScript. Как отметили эксперты, код не был обфусцирован и выглядел аккуратно структурированным - его ясность и наличие механизмов обработки ошибок указывают на использование готового наборного комплекта, а не уникальной разработки.

Механика атаки была тщательно выверена. При загрузке страницы сценарий выполнял асинхронный запрос к серверу, с которого возвращался JSON-объект, содержащий команду PowerShell. Интересной особенностью стало поведение сервера: параметр get_command использовался лишь как триггер, а не как селектор полезной нагрузки, что указывает на примитивную реализацию на стороне сервера. Команда сразу сохранялась в глобальной переменной, но к пользователю попадала только после клика по галочке. Между тем страница плавно раскрывала интерфейс с задержками, создавая стопроцентную иллюзию легитимности. После того как жертва нажимала на переключатель, команда принудительно копировалась в буфер обмена - причём разработчики реализовали механизм перехвата всех операций копирования, чтобы команда гарантированно оказалась в буфере, даже если пользователь скопирует что-то другое. Однако этот механизм легко обходился копированием текста из другой вкладки или внешнего приложения. Для отслеживания успешности кампании скрипт отправлял на сервер данные через POST-запрос: идентификатор, имя домена, сведения о браузере и реферере. Функция отправляла всё это на тот же URL с пометкой Telegram - в коде осталось множество отладочных логов, которые позволяли злоумышленникам пошагово отслеживать действия пользователя в консоли.

Следующим этапом перед жертвой появлялась инструкция: открыть выполнение (Win+R), вставить скопированную команду и нажать Enter. Команда PowerShell запускалась без вывода окна, с отключённой политикой выполнения и немедленно загружала и выполняла скрипт с домена wiosyrondaty.com без записи на диск - классический безфайловый метод. Обнаружили эту активность специалисты благодаря публикации одного из участников MalwareBazaar в социальной сети X.

Сам загруженный PowerShell-сценарий оказался обфусцированным и представлял собой полноценный дроппер. Его структура включала пять этапов: разведка системы, загрузка архива, развёртывание, закрепление и исполнение. На этапе разведки скрипт собирал обширную информацию о компьютере - имя пользователя, имя машины, версию операционной системы, модель и производителя, объём оперативной памяти, сведения о процессоре, наличие антивирусов, принадлежность к домену, разрядность системы и часовой пояс. Все данные передавались на сервер управления через GET-запрос с множеством параметров. Примечательно, что даже при несоответствии системы ожиданиям злоумышленников (например, слишком старая версия) дроппер не останавливался - он продолжал выполнение, не имея механизма остановки.

После сбора информации начиналась загрузка ZIP-архива с сервера hailmeinc.com. Сценарий использовал два метода: сначала через HttpClient с тайм-аутом 320 секунд и до четырёх попыток. На первых трёх попытках применялся HttpClient, на четвёртой - метод Invoke-WebRequest. Только после проверки минимального размера файла (10 килобайт) и целостности архива сценарий переименовывал временный файл с расширением .tmp в zip. Если загрузка или проверка проваливались, временные файлы удалялись, а дроппер отправлял сообщение об ошибке на сервер управления - атака прекращалась. Затем происходило развёртывание: скрипт перебирал несколько кандидатских папок из пользовательского профиля (локальная папка AppData, AppData, Temp, Documents), распаковывал архив в уникальный подкаталог и прятал все файлы с помощью атрибутов. Если одна папка оказывалась недоступной, он переходил к следующей.

Закрепление в системе было реализовано через два механизма. Сначала дроппер сканировал распакованные файлы на наличие первого исполняемого файла (с расширением .exe или .bat), после чего создавал запись в реестре Windows по пути HKCU\Software\Microsoft\Windows\CurrentVersion\Run. В качестве имени ключа использовалась сгенерированная строка, а значением становился полный путь к исполняемому файлу. Если этот метод не срабатывал, в дело вступал резервный вариант - создание запланированной задачи через команду schtasks с параметрами /create /tn и /sc onlogon. Только при отказе обоих механизмов полезная нагрузка не сохранялась после выхода пользователя из системы. Финальным этапом становился запуск самого вредоносного файла в скрытом режиме, без взаимодействия с пользователем.

Анализ показывает, что атака опирается на простое, но крайне эффективное сочетание социальной инженерии и технических трюков. Поддельный интерфейс, принудительное копирование команды, незаметный запуск PowerShell и многоуровневый механизм закрепления создают серьёзную угрозу для пользователей, которые могут попасть на такую страницу по невнимательности. Особую опасность представляет то, что пользователь сам запускает вредонос, что делает традиционные средства защиты, ориентированные на сетевой периметр и сигнатуры, практически бесполезными. В дальнейших публикациях специалисты обещают раскрыть детали финальной нагрузки, которая попадает на атакованные компьютеры.

Domains

• accountpulsecentre.help
• hailmeinc.com
• wiosyrondaty.com

URLs

• https://accountpulsecentre.help/ern‑ZIoCCeHgBJpt2g33q1ZHZmrC2jCoRE1hGJ5O38s
• https://accountpulsecentre.help/ern-ZIoCCeHgBJpt2g33q1ZHZmrC2jCoRE1hGJ5O38s?get_command=1
• https://hailmeinc.com/bkmsiqop.zip
• https://wiosyrondaty.com/0I7IRN3o4o8GefoYto39mLjnEmdxcEEK73hReyAT6-A