Хакеры используют мошенничество с ‘ClickFix’ для распространения вредоносного ПО

Хакеры используют «ClickFix» для социальной инженерии, обманывая пользователей поддельными ошибками или CAPTCHA для выполнения PowerShell, распространяя вредоносное ПО по всему миру с 2024 года.

Киберпреступники все чаще используют хитрую тактику социальной инженерии под названием «ClickFix» для распространения вредоносного ПО, нацеливаясь на инстинкт людей самостоятельно решать возникающие проблемы.

Исследования от Proofpoint показали в понедельник растущее использование этого метода, который был замечен во многих кампаниях с марта 2024 года.

Техника «ClickFix» основывается на поддельных сообщениях об ошибках, которые выводятся через всплывающие диалоговые окна. Эти сообщения выглядят правдоподобно и предлагают пользователям самостоятельно исправить предполагаемую проблему, объясняет Proofpoint.

Часто инструкции предлагают пользователям скопировать и вставить предоставленный скрипт в терминал PowerShell их компьютера, инструмент, используемый для выполнения команд в системах Windows. Без ведома пользователя, данное действие загружает и запускает вредоносное программное обеспечение.

Proofpoint замечал такой подход в фишинговых электронных письмах, вредоносных URL-адресах и скомпрометированных веб-сайтах.

Актеры угроз маскируют свои мошеннические схемы под уведомления от доверенных источников, таких как Microsoft Word, Google Chrome, и даже местные услуги, адаптированные под определенные отрасли, такие как логистика или транспорт.

Особенно коварным вариантом ClickFix является поддельные CAPTCHA-задачи, где пользователей просят «доказать, что они человек», объясняет Proofpoint.

Трюк с CAPTCHA сопровождается инструкциями по выполнению вредоносных команд, которые устанавливают такое вредоносное ПО, как AsyncRAT, DarkGate или Lumma Stealer. Примечательно, что набор инструментов для этого поддельного механизма CAPTCHA появился на GitHub, что облегчает его использование для преступников.

Согласно Proofpoint, хакеры атаковали ряд организаций по всему миру, включая государственные структуры в Украине. В одном из случаев они выдали себя за GitHub, используя поддельные предупреждения о безопасности, чтобы перенаправить пользователей на вредоносные сайты.

Эти мошенничества привели к заражению вредоносным ПО более 300 организаций.

То, что делает ClickFix столь эффективным, — это его способность обходить множество мер безопасности. Поскольку пользователи добровольно выполняют вредоносные команды, традиционные фильтры электронной почты и антивирусные инструменты скорее всего не отметят данную активность, говорит Proofpoint.

Proofpoint подчеркивает, что эта тактика является частью более широкого тренда в хакерстве: манипулирование человеческим поведением, а не просто использование технических уязвимостей. Хакеры рассчитывают на готовность пользователей самостоятельно решать проблемы, при этом часто обходя IT-команды.

Чтобы противостоять этой угрозе, организации должны обучать сотрудников, рассказывая о мошенничестве с использованием ClickFix, и подчеркивать важность скепсиса по отношению к незапрошенным инструкциям по устранению неполадок.

Оставаясь бдительными и сообщая о подозрительных электронных письмах или всплывающих окнах, можно предотвратить становление жертвой этих хитрых атак.