В Microsoft сообщили о новой схеме атаки ClickFix
3 мин
65
Специалисты Microsoft предупредили о новом варианте атаки ClickFix, который использует терминал Windows для обхода систем защиты. Киберпреступники изменили тактику и теперь заставляют жертв запускать вредоносные команды через другой инструмент операционной системы.
Атака по-прежнему опирается на поддельные страницы проверки CAPTCHA, запросы на устранение неполадок и различные приманки для верификации. Цель злоумышленников остаётся прежней — обманом заставить пользователей выполнить вредоносные команды PowerShell.
Главное отличие новой кампании — способ запуска команд. Жертвам предлагают открывать терминал Windows напрямую, а не через привычное диалоговое окно «Выполнить». Вместо традиционной схемы Win + R злоумышленники инструктируют использовать сочетание клавиш Windows + X, а затем нажать I для запуска wt.exe.
Представители Microsoft объяснили, что такой подход направляет пользователей в среду выполнения команд с повышенными правами. Терминал Windows выглядит как часть обычных административных процессов и вызывает больше доверия. Атака маскируется под легитимные действия.
Новый метод обнаружили в феврале этого года в условиях реальной атаки. Эксперты Microsoft отметили, что злоумышленники смогли обойти защиту, которую создавали специально против злоупотребления диалогом «Выполнить».
После выполнения вредоносной команды в терминале запускается процесс PowerShell. Он декодирует встроенные hex-команды и запускает многоэтапную цепочку атаки. Конечная цель — заражение компьютера жертвы стилером Lumma Stealer.
Вредоносный код закрепляется в системе через запланированные задачи. Он содержит механизмы обхода антивирусов и нацелен на кражу данных браузера и другой конфиденциальной информации.
Специалисты нашли также другой вариант этой атаки. В нём вредоносные команды из терминала запускают батник через командную строку и MSBuild.exe. Скрипт подключается к RPC-узлам криптовалютного блокчейна, что указывает на технику etherhiding. Кроме того, он внедряет код в процессы chrome.exe и msedge.exe через QueueUserAPC для кражи Web Data и Login Data.
Ранее исследователи выявили ещё один вариант атаки ClickFix под названием InstallFix. Злоумышленники клонируют сайты с AI-инструментами и через них заставляют жертв выполнять вредоносные команды. Результат тот же — заражение стилерами.
