Microsoft обнародовала подробности развития опасной социальной инженерной техники ClickFix, в которой злоумышленники убеждают пользователей вручную выполнить вредоносные команды. В новой версии атака опирается на системный инструмент nslookup для получения следующей ступени вредоносного ПО через DNS-запросы.
Что такое ClickFix и как он работает
ClickFix - это прием социальной инженерии, в котором пользователей вводят в заблуждение через фишинговые сайты, вредоносную рекламу или поддельные страницы. Жертве показывают, например, "ошибку системы" или "CAPTCHA", после чего предлагают решить проблему, выполнив команду в Windows Run-диалоге или в терминале macOS.
В новой вариации злоумышленники просят выполнить nslookup, стандартную утилиту для DNS-запросов. Команда нацелена на сторонний DNS-сервер, а не на системный, и результат этого запроса затем обрабатывается так, чтобы извлечь строку с именем (Name:), которая после фильтрации запускается как вторая стадия вредоносного кода.
Зачем использовать DNS
Атака использует DNS как "лёгкий канал" для связи с инфраструктурой злоумышленников и для скрытой загрузки следующей части вредоносной цепочки. Преимущество такого подхода в том, что DNS-трафик обычно считается безопасным и не вызывает подозрений у защитных механизмов т.к. он смешивается с обычным сетевым трафиком и позволяет обойти часть средств защиты.
Что происходит после запуска
После выполнения команды с использованием nslookup начальная загрузка ведёт к скачиванию ZIP-архива с внешнего сервера — в статье упоминается домен azwsappdev[.]com. Из архива извлекается вредоносный Python-скрипт, который выполняет разведку системы, запускает диагностические команды и разворачивает VBScript, который, в свою очередь, запускает троян доступа ModeloRAT. Этот троян позволяет злоумышленникам получить удалённый доступ к системе.
Чтобы обеспечить автоматический запуск при включении компьютера, вредоносный LNK-ярлык добавляется в папку автозагрузки Windows, указывая на VBScript.
Распространение через другие схемы
Microsoft отмечает, что широкий рост интереса к ClickFix связан с тем, что техника опирается на социальную инженерию, а не на уязвимости. Жертвы часто не распознают опасность, потому что инструкции выглядят как типичные шаги устранения проблем.
Кроме того, компании по кибербезопасности предупреждают о всплеске активности других вредоносных цепочек, которые используют похожие методы:
фейковые CAPTCHA-страницы, сопровождающие загрузчики CastleLoader и Lumma Stealer;
VBA-скрипты и PowerShell-команды, запускаемые через phishing-архивы;
эксплойты, распространяемые с помощью поддельных аналитических ссылок или под видом установки утилит.
Почему эта атака опасна
Главная опасность в том, что злоумышленники заставляют сами системы заражать себя, обходя многие защитные барьеры. Атаки, основанные на социальной инженерии, эффективны именно потому, что пользователи не подозревают, что запускают вредоносный код сами.
Источник: HN