Социальная инженерия остается одним из самых эффективных инструментов киберпреступников, и новая тактика под названием ClickFix наглядно демонстрирует, насколько уязвимы пользователи перед хитрыми уловками злоумышленников. Этот метод основан на манипуляции через поддельные сообщения об ошибках или запросы верификации, заставляя жертв вручную запускать вредоносные команды.
Описание
ClickFix привлекает внимание не только отдельных хакеров, но и продвинутых группировок, таких как APT28 и MuddyWater. С марта 2024 года атаки с использованием этой техники затронули организации в сфере здравоохранения, гостиничного бизнеса, автопрома и государственного сектора.
Злоумышленники используют фишинговые письма, скрытые ссылки или поддельные CAPTCHA-запросы, чтобы заставить пользователей выполнить три простых шага: открыть окно "Выполнить" (Win + R), вставить вредоносную команду PowerShell и нажать Enter. После этого злоумышленники получают контроль над системой, устанавливают связь с командным сервером (C2) и начинают красть конфиденциальные данные, часто развертывая такие вредоносные программы, как XWorm, Lumma и AsyncRAT.
Darktrace зафиксировали несколько таких атак в Европе, на Ближнем Востоке и в США. В одном из инцидентов 9 апреля 2025 года злоумышленники использовали PowerShell для удаленного выполнения кода, загружали подозрительные числовые файлы и выкачивали системную информацию через HTTP-запросы. В другом случае, когда Darktrace работал в режиме автономного реагирования, подключение к вредоносному серверу было заблокировано всего через секунду после обнаружения.
Эксперты подчеркивают, что даже самые осведомленные пользователи могут стать жертвами подобных атак, поэтому критически важно использовать современные системы защиты, способные оперативно выявлять и пресекать подозрительную активность. ClickFix - это лишь один из примеров того, как киберпреступники адаптируются, эксплуатируя человеческий фактор, и компаниям необходимо быть на шаг впереди, чтобы минимизировать риски.
Индикаторы компрометации
IPv4
- 138.199.156.22
- 141.193.213.10
- 141.193.213.11
- 168.119.96.41
- 188.34.195.44
- 193.36.38.237
- 205.196.186.70
- 212.237.217.182
- 216.245.184.181
- 64.94.84.217
- 94.181.229.250
Domains
- diagnostics.medgenome.com
- rkuagqnmnypetvf.top
- tlgrm-redirect.icu
URI
- /1.php?s=527
- /1.txt
- /1741200416
- /1741356624
- /1741714208
- /1741718928
- /1741965536
- /1743871488
- /1744125600
- /1744134352
- /1744139920
- /1744205184
- /ttt
SHA1
- 10a5eab3eef36e75bd3139fe3a3c760f54be33e3
SHA256
- 34ff2f72c191434ce5f20ebc1a7e823794ac69bba9df70721829d66e7196b044
