В мае 2025 года специалисты BI.ZONE Threat Intelligence обнаружили не менее двух вредоносных кампаний, во время которых злоумышленники использовали против российских организаций технику атак ClickFix, а также новый троян удаленного доступа. Предполагается, что троян хакеры разработали самостоятельно.
По словам экспертов, в период с мая по начало июня 2025 года от таких атак пострадали около 30 российских организаций.
Атаки ClickFix представляют собой разновидность социальной инженерии. В последнее время различные вариации этих атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют выполнять вредоносные команды PowerShell, по сути, вручную заражая свою систему вредоносным ПО.
К примеру, злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ИБ-специалисты уже предупреждали и о кампаниях, направленных на пользователей macOS и Linux.
Замеченные BI.ZONE атаки начиналась с фишингового письма, во вложении к которому содержался PDF-файл якобы от силовых структур. Текст в документе был размыт таким образом, чтобы прочитать его было невозможно. Для получения доступа к файлу пользователю предлагали подтвердить, что он не робот и решить CAPTCHA.
На самом деле нажатие на кнопку перенаправляло жертву на сайт злоумышленников, где пользователь снова видел окно с фальшивой CAPTCHA. Кликнув «Я не робот», пользователь незаметно для себя копировал в буфер обмена скрипт PowerShell.
После этого, в рамках классической схемы применения ClickFix-атак, жертву просили выполнить на своем устройстве ряд команд — якобы, чтобы подтвердить право на доступ к документу и корректно открыть его. На самом деле эти команды запускали вредоносный код, скопированный в буфер при нажатии CAPTCHA, сочетание клавиш Win + R открывало окно Run для быстрого запуска программ, Ctrl + V вставляло в это окно скрипт из буфера обмена, а нажатие Enter запускало его.
«Технику ClickFix атакующие используют с весны 2024 года, однако против компаний из России и других стран СНГ она применяется впервые. Злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии, которые сложнее распознать», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Скрипт, в итоге запущенный пользователем, скачивал с сервера злоумышленников изображение в формате PNG и извлекал из него загрузчик Octowave Loader.
Octowave Loader включал в себя несколько компонентов, в том числе множество легитимных файлов, среди которых скрывались несколько вредоносных. В одном из них с помощью стеганографии был скрыт исполняемый код, который запускал на устройстве жертвы еще одну вредоносную программу — ранее неклассифицированный и недокументированный троян удаленного доступа (RAT). Исследователи считают, что троян — авторская разработка самих злоумышленников.
Обнаруженный RAT отправлял злоумышленникам базовую информацию о скомпрометированной системе (имя пользователя, его права, версия ОС и так далее), а затем предоставлял им возможность выполнять на устройстве жертвы команды и запускать процессы.
Столь длинная цепочка атаки с использованием стеганографии была нацелена на уклонение от обнаружения, чтобы повысить шансы на успешную компрометацию целевой системы.
В качестве PNG-файла с вредоносным кодом злоумышленники использовали мемы политического содержания. Причем жертва не видела саму картинку, поскольку файл скачивался незаметно для пользователя и вообще не открывался для просмотра.
По словам экспертов, RAT собственной разработки может указывать на то, что целью этих атак был шпионаж. Об этом же косвенно свидетельствует то, что преступники маскировали фишинговые послания под письма от силовых ведомств — такой почерк наиболее характерен именно для шпионских группировок.