Очередная фишинговая кампания, использующая классический метод социальной инженерии ClickFix, на этот раз маскируется под установщик популярного инструмента искусственного интеллекта Claude. Несмотря на кажущуюся простоту вектора атаки, злоумышленники применили многоэтапную цепочку доставки вредоносной нагрузки с обфускацией кода и техниками обхода систем защиты, что демонстрирует эволюцию даже "рутинных" угроз. Атака была своевременно обнаружена и нейтрализована специалистами SOC компании Rapid7, предоставляющей услуги Managed Detection and Response, что послужило наглядным примером работы подобных сервисов для корпоративных клиентов.
Описание
Интерес аналитиков вызвал тот факт, что на момент обнаружения кампания практически не была представлена в открытых источниках, таких как VirusTotal, что указывает на её целевой или тщательно скрываемый характер. Атака затронула клиентов в Евросоюзе и США. Триггером для расследования стало срабатывание правила корреляции в платформе Rapid7 InsightIDR 9 апреля, которое обнаружило выполнение утилиты "mshta" через реестровый ключ "RunMRU", типичный для атак типа ClickFix. В данном случае команда пыталась загрузить и выполнить файл с адреса, имитирующего официальный ресурс для загрузки Claude.
Первоначальная полезная нагрузка, файл "claude.msixbundle", маскировалась под пакет приложения MSIX из Microsoft Store. Однако при детальном анализе выяснилось, что архив содержит встроенное HTA-приложение (HTML Application), которое, в свою очередь, исполняло обфусцированный Visual Basic Script. Его главной задачей была деобфускация и подготовка следующего этапа - запуска сложного PowerShell-скрипта. Этот скрипт выполнял несколько критически важных для злоумышленников действий. Во-первых, он генерировал уникальный URL для загрузки следующей ступени на основе хэша от имени компьютера и пользователя, что могло использоваться для отслеживания жертв или усложнения анализа. Во-вторых, и это наиболее технически изощрённо, скрипт содержал код для отключения AMSI (Antimalware Scan Interface - интерфейс сканирования на наличие вредоносных программ).
Механизм AMSI в Windows является ключевым элементом защиты, позволяющим антивирусным решениям проверять скрипты, в том числе PowerShell, на лету. Атакующие использовали технику патчинга памяти, перезаписывая критическое поле "amsiContext" в .NET-классе "System.Management.Automation.AmsiUtils" заранее подготовленным значением, что эффективно отключало проверку AMSI для последующего кода. После этого без помех загружался и исполнялся следующий этап - ещё один PowerShell-скрипт с высокой степенью обфускации. Этот финальный скрипт, как установили эксперты Rapid7, в итоге выполнял сложную процедуру инъекции shellcode в память процесса, используя прямые вызовы низкоуровневых API Windows, таких как "NtAllocateVirtualMemory" и "NtCreateThreadEx". Подобная техника позволяет запустить вредоносный код, минуя запись на диск и традиционные сигнатурные методы детектирования.
Для организаций, не использующих услуги управляемого SOC, подобные атаки представляют значительную опасность. Конечной целью в подобных схемах часто является установка инфостилера - вредоносной программы для кражи учётных данных, сохранённых в браузерах, почтовых клиентах и других приложениях. В случае успешного заражения это приводит к необходимости сброса всех паролей, использовавшихся на скомпрометированном компьютере, и риску несанкционированного доступа к корпоративным аккаунтам. Инцидент подчёркивает, что даже фишинг, нацеленный на загрузку якобы легитимного ПО, может использовать сложные цепочки эксплуатации, требующие для своего обнаружения не только базового антивируса, но и продвинутого мониторинга поведения процессов, анализа активности PowerShell и глубокой экспертизы в области тактик злоумышленников.
Индикаторы компрометации
Domains
- download.get-version.com
- download-version.1-5-8.com
- oakenfjrod.ru
SHA256
- 2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97
