Финансовый сектор снова оказался под прицелом злоумышленников, использующих изощрённые методы социальной инженерии. Исследователи в области кибербезопасности зафиксировали масштабную кампанию, построенную на технике ClickFix, которая сочетает в себе подмену брендов легитимных компаний и скрытую манипуляцию буфером обмена. Атака не требует от жертвы установки подозрительного приложения - достаточно просто скопировать то, что она видит на экране.
Описание
В основе вредоносной схемы лежит поддельный домен lirunex[.]tech, который визуально почти неотличим от официального сайта популярной платформы для торговли Lirunex (lirunex.com). Мошенники зарегистрировали его всего за несколько дней до начала атаки. Используя доменную зону .tech и поддомен api-eu3, они создали копию страницы документации API, внешне напоминающую интерфейс Swagger UI. Такая страница служит приманкой. Для посторонних посетителей она показывает только муляж технической документации, но для целевой жертвы сайт превращается в ловушку.
Как пояснили эксперты, жертву заставляют поверить, что для подключения к платежному шлюзу необходимо установить SSL-сертификат. На экране появляется окно с инструкцией, предлагающей пользователю скопировать строку пути к сертификату. Однако в тот момент, когда жертва копирует данные, содержимое буфера обмена бесшумно подменяется. Вместо легитимного адреса туда вставляется вредоносная команда, оканчивающаяся на строку lirunex_Api_EU3.pem, за которой следуют 250 пробелов. Этот визуальный "хвост" скрывает истинный характер команды и вводит в заблуждение даже внимательного пользователя.
Вредоносная команда запускается при попытке вставить скопированный текст в терминал или окно браузера. Она использует процесс conhost.exe с флагом --headless, что позволяет выполнить первый этап заражения абсолютно незаметно. Подобный трюк - не новость, но реализация на высоком уровне делает его крайне опасным. Система не показывает окно консоли, поэтому пользователь не видит, что на самом деле происходит.
Следующий этап атаки запускается удалённо с сервера colafunfacts[.]net. Сначала скачивается файл с адреса https://colafunfacts[.]net/log. По сути это первый скрытый скрипт, который выполняет роль загрузчика. Далее система получает архив firefox.zip, который, несмотря на название, содержит не браузер, а исполняемые файлы на Python. Внутри архива они замаскированы под изображения: mev.png, USO.ico и USO.png. Исследователи обнаружили эту цепочку загрузки, отметив, что злоумышленники намеренно имитируют легитимные обновления, чтобы обойти эвристические анализаторы.
После активации этих файлов на устройство жертвы устанавливается полноценная программа удалённого доступа (RAT). Этот инструмент работает на нескольких операционных системах и обладает широкими шпионскими возможностями: от кражи учётных данных из браузера до перехвата нажатий клавиш (кейлоггер), трансляции экрана в реальном времени, управления файлами и организации SSH-туннелей. Вредоносная программа не исчезает после перезагрузки - в ней реализованы механизмы закрепления, которые обеспечивают постоянное присутствие в системе. Кроме того, она умеет обнаруживать работу антивирусов и средств защиты конечных точек (EDR), применяя методы противодействия криминалистическому анализу.
Важно отметить, что эта атака не единична. Эксперты выявили аналогичную подмену буфера обмена на других сайтах, связанных с финансовой тематикой. Среди них - ресурсы aromi-fr[.]shop, aromi-fr[.]com, а также api-eu3.convmasters[.]com. Управление всеми этапами заражения ведётся с одного командного сервера (C2), расположенного по адресу 104.207.131.216 на порту 16443.
Подобная многоступенчатая атака демонстрирует переход злоумышленников к более сложным методам доставки вредоносного кода. Вместо массовых рассылок с подозрительными вложениями они делают ставку на фишинг, который с трудом поддаётся автоматической фильтрации. Маскировка под популярные финансовые сервисы и использование официальных доменов делают такую угрозу практически невидимой для классических антивирусных решений. Для конечного пользователя ситуация усугубляется тем, что он сам выполняет первый шаг заражения, вставляя команду из собственного буфера обмена.
Специалистам по безопасности стоит обратить внимание на возможность блокировки доменов, зарегистрированных по шаблону подмены брендов, особенно в зонах .tech и .shop для финансовых организаций. Для обычных пользователей главной защитой остаётся критическое отношение ко всем инструкциям, требующим копирования и вставки текста в командную строку, особенно на страницах, запрашивающих установку безопасности.
Индикаторы компрометации
Domains
- aromi-fr.com
- aromi-fr.shop
- convmasters.com
- lirunex.tech
URLs
- http://104.207.131.216:16443
- http://188.166.20.222:8000
- http://95.179.240.32:9999/build
- https://colafunfacts.net/firefox.zip
- https://colafunfacts.net/log
SHA256
- 01b33a2b65bff3c4f3ea686dd545ea4d4214605a7db27b11c5c931058b6f6fbe
- 0bd04e6b054a45d642adb9338862f8253e94b83365a81f95e6a4fc740bac9c0c
- b18d6a77ed2693485dabb2d86fc28cb7946b5e3ecbd89f7656365de8474ad012
- b1cd7e6f87ba5b6532df928277f0ecfed2b4345667835d64be27fd434cbbfc63