Исследовательский центр угроз Atos выявил новый вариант социальной инженерной техники ClickFix, что знаменует собой значительную эволюцию этой постоянной угрозы. Основной обман остается неизменным: злоумышленники заманивают жертв на поддельную веб-страницу, часто маскирующуюся под систему проверки CAPTCHA, которая инструктирует их вручную выполнить вредоносную команду с помощью диалогового окна «Выполнить» в Windows (Win+R). Однако в этой последней итерации представлена усовершенствованная цепочка выполнения, разработанная для повышения скрытности и уклонения от обнаружения. Вместо того чтобы полагаться на более часто отслеживаемые векторы, такие как PowerShell или `mshta.exe`, злоумышленники теперь используют команду `net use` для подключения сетевого диска с удаленного сервера, контролируемого атакующими. Пользователя обманом заставляют вставить и выполнить команду, которая сначала подключает общий ресурс WebDAV в качестве локального диска (например, Z:), затем выполняет пакетный скрипт (`update.cmd`) с этого диска и, наконец, удаляет подключение диска, чтобы скрыть следы. Этот метод использования легитимных административных инструментов для первоначального доступа представляет собой тактический сдвиг для обхода средств безопасности, которые могут быть сосредоточены на скриптовых движках.
Цепочка заражения развивается с высокой точностью. Выполняемый пакетный файл `update.cmd` действует как загрузчик, извлекающий ZIP-архив из интернета. После распаковки полезная нагрузка раскрывает умную форму подмены приложения. Злоумышленники нацеливаются на легитимное приложение для ведения заметок WorkFlowy, но модифицируют его основную логику, внедряя вредоносный код в архивный файл приложения `.asar`. Этот формат архива, обычно используемый в приложениях на основе Electron, таких как WorkFlowy, упаковывает исходный код приложения. Изменяя его, вредоносное ПО гарантирует, что когда пользователь запускает, казалось бы, подлинное приложение WorkFlowy, оно сначала выполняет скрытый вредоносный код. Эта техника, известная как «living-off-the-land» или модификация двоичных файлов, обеспечивает отличную маскировку, поскольку процесс выглядит как доверенное, подписанное приложение.
Вредоносный код, встроенный в приложение WorkFlowy, выполняет двойную функцию. В первую очередь, он действует как постоянный маяк командования и управления (C2), устанавливая связь с инфраструктурой злоумышленников для получения дальнейших инструкций. Во-вторых, он работает как дроппер, отвечающий за извлечение и развертывание окончательной вредоносной полезной нагрузки на скомпрометированной системе. Конкретный характер этой конечной нагрузки — будь то троян удаленного доступа (RAT), похититель информации или программа-вымогатель — может варьироваться в зависимости от целей атакующих. Использование многоэтапного процесса в сочетании со злоупотреблением легитимным программным пакетом значительно затрудняет обнаружение для традиционных антивирусных решений и средств защиты конечных точек, которые могут не проводить глубокую проверку модифицированных архивов приложений Electron.
Эта кампания, размещенная на домене «happyglamper[.]ro», подчеркивает тревожную тенденцию в ландшафте киберугроз: постоянное совершенствование социально-инженерных приманок в сочетании со все более непрозрачными методами технического выполнения. Хотя команда `net use` и пакетные скрипты сами по себе не являются новыми инструментами, их конкретное сочетание в контексте ClickFix представляет собой новое изменение в тактиках, техниках и процедурах (TTP). Это подчеркивает способность противников адаптироваться для обхода защитных мер, которые стали учитывать предыдущие итерации. Для кибербезопасности это подтверждает необходимость стратегий глубокой защиты, включающих надежное обучение пользователей осведомленности о подобном «ручном» выполнении команд, расширенное обнаружение на конечных точках, способное отслеживать аномальное поведение процессов от доверенных приложений, и сетевые средства контроля для блокировки подключений к подозрительным внешним серверам WebDAV и неизвестным доменам.
