- Специальный корреспондент
Новая атака обходит большинство защит и выглядит абсолютно легально.
Исследователи Acronis о новой серии атак, в которой используется модифицированная техника FileFix для доставки похитителя данных StealC. Злоумышленники развернули правдоподобную многоязычную фишинговую кампанию, в ходе которой подделываются страницы различных сервисов, включая, например, «Facebook Security». На странице пользователь получает сообщение о том, что на его аккаунте зафиксирована «подозрительная активность». Далее жертве предлагается выполнить ряд действий для «устранения проблемы».
отличается от описанного ранее приёма тем, что не вынуждает жертву открывать окно «Выполнить» и вставлять команду для прохождения мнимой CAPTCHA. Вместо этого злоумышленники используют стандартную функцию загрузки файла в браузере и подсказывают скопировать «путь к документу» в адресную строку Проводника.
На деле по кнопке «Copy» в буфер попадает уже подготовленная команда с пробелами в конце — при вставке в Проводник виден лишь безопасный путь, тогда как хвостом остаётся скрытый вызов PowerShell. Дополнительная кнопка «Open File Explorer» сразу открывает нужное окно, чтобы цепочка выглядела естественно.
Запущенный жертвой скрипт сначала скачивает с Bitbucket изображение, внутри которого спрятан следующий уровень полезной нагрузки, декодирует его и запускает Go-загрузчик. Тот разворачивает шелл-код и передаёт управление StealC. Такой дизайн позволяет прятать полезную нагрузку в графике, разбивать логику на сегменты и минимизировать подозрительные артефакты на диске.
У описанного приёма есть тактическое преимущество перед ClickFix — он опирается на обычную для всех браузеров возможность работы с файлами, которую сложно запретить политиками без ущерба для процессов. При этом у защитников остаётся и контраргумент: выполнение системной команды от имени веб-процесса заметнее в телеметрии, чем запуск из explorer.exe через диалог «Выполнить», что повышает шанс фиксации инцидента EDR-системами.
Параллельно компания Doppel похожую активность, где применяются поддельные порталы поддержки, страницы «ошибок Cloudflare CAPTCHA» и перехват буфера обмена по схеме ClickFix. Жертву подводят к выполнению PowerShell, который тянет и запускает сценарий AutoHotkey. Этот скрипт собирает сведения о системе и приносит дополнительные инструменты удалённого доступа, такие как AnyDesk и TeamViewer, а также инфостилеры и клипперы. Зафиксированы и варианты с запуском mshta по адресу, замаскированному под домен Google — wl.google-587262[.]com — для получения и исполнения удалённого кода.
Acronis подчёркивает, что злоумышленники вложились в инфраструктуру и упаковку — от многоязычного контента и правдоподобных поводов до сегментированной доставки и сокрытия в изображениях. В результате цепочка выглядит максимально рутинно на каждом шаге, пока в фоне не запустится инфостилер.
Исследователи Acronis о новой серии атак, в которой используется модифицированная техника FileFix для доставки похитителя данных StealC. Злоумышленники развернули правдоподобную многоязычную фишинговую кампанию, в ходе которой подделываются страницы различных сервисов, включая, например, «Facebook Security». На странице пользователь получает сообщение о том, что на его аккаунте зафиксирована «подозрительная активность». Далее жертве предлагается выполнить ряд действий для «устранения проблемы».
отличается от описанного ранее приёма тем, что не вынуждает жертву открывать окно «Выполнить» и вставлять команду для прохождения мнимой CAPTCHA. Вместо этого злоумышленники используют стандартную функцию загрузки файла в браузере и подсказывают скопировать «путь к документу» в адресную строку Проводника.
На деле по кнопке «Copy» в буфер попадает уже подготовленная команда с пробелами в конце — при вставке в Проводник виден лишь безопасный путь, тогда как хвостом остаётся скрытый вызов PowerShell. Дополнительная кнопка «Open File Explorer» сразу открывает нужное окно, чтобы цепочка выглядела естественно.
Запущенный жертвой скрипт сначала скачивает с Bitbucket изображение, внутри которого спрятан следующий уровень полезной нагрузки, декодирует его и запускает Go-загрузчик. Тот разворачивает шелл-код и передаёт управление StealC. Такой дизайн позволяет прятать полезную нагрузку в графике, разбивать логику на сегменты и минимизировать подозрительные артефакты на диске.
У описанного приёма есть тактическое преимущество перед ClickFix — он опирается на обычную для всех браузеров возможность работы с файлами, которую сложно запретить политиками без ущерба для процессов. При этом у защитников остаётся и контраргумент: выполнение системной команды от имени веб-процесса заметнее в телеметрии, чем запуск из explorer.exe через диалог «Выполнить», что повышает шанс фиксации инцидента EDR-системами.
Параллельно компания Doppel похожую активность, где применяются поддельные порталы поддержки, страницы «ошибок Cloudflare CAPTCHA» и перехват буфера обмена по схеме ClickFix. Жертву подводят к выполнению PowerShell, который тянет и запускает сценарий AutoHotkey. Этот скрипт собирает сведения о системе и приносит дополнительные инструменты удалённого доступа, такие как AnyDesk и TeamViewer, а также инфостилеры и клипперы. Зафиксированы и варианты с запуском mshta по адресу, замаскированному под домен Google — wl.google-587262[.]com — для получения и исполнения удалённого кода.
Acronis подчёркивает, что злоумышленники вложились в инфраструктуру и упаковку — от многоязычного контента и правдоподобных поводов до сегментированной доставки и сокрытия в изображениях. В результате цепочка выглядит максимально рутинно на каждом шаге, пока в фоне не запустится инфостилер.
