Группировка Interlock, известная своими атаками с использованием программ-вымогателей, перешла на новый уровень с использованием тактики ClickFix для обхода корпоративной безопасности.
В этой хитроумной схеме злоумышленники маскируют вредоносные файлы под программное обеспечение, которое якобы предназначено для решения проблем с устройством или для подтверждения подлинности.
Вместо того чтобы просто заражать систему через вирусные файлы, они заставляют жертву выполнять PowerShell команды, что приводит к установке шифровальщика на устройство.
ClickFix - это метод социальной инженерии, где жертве предлагают нажать на кнопку или выполнить команду для исправления ошибочной ситуации. На первый взгляд, это выглядит как безобидный процесс в рамках работы с IT-инструментами. Однако, на самом деле, после выполнения команды загружается вредоносный код, который в дальнейшем может привести к утечке данных и установке трояна, способного выполнять удалённое управление системой.
В отличие от предыдущих атак, где Interlock использовала фальшивые обновления браузеров или VPN-клиентов, теперь атака распространяется через фальшивые CAPTCHA страницы, под видом которых жертве предлагается скачать якобы полезный инструмент, например, Advanced IP Scanner.
Этот инструмент, на самом деле, приводит к запуску скрытого PowerShell скрипта, который создает для злоумышленников доступ к системе и собирает важную информацию о компьютере жертвы.
Следующим шагом становится эксплуатация украденных учетных данных для перемещения по сети через RDP и другие инструменты удаленного доступа, такие как PuTTY и AnyDesk. В этот момент данные начинают массово вытягиваться на контролируемые злоумышленниками серверы, что немедленно приводит к началу атак с вымогательством. Примечательно, что эта новая тактика была не только замечена в атаках Interlock, но и принята другими группами киберпреступников, включая хакеров из Северной Кореи.
В этой хитроумной схеме злоумышленники маскируют вредоносные файлы под программное обеспечение, которое якобы предназначено для решения проблем с устройством или для подтверждения подлинности.
Вместо того чтобы просто заражать систему через вирусные файлы, они заставляют жертву выполнять PowerShell команды, что приводит к установке шифровальщика на устройство.
ClickFix - это метод социальной инженерии, где жертве предлагают нажать на кнопку или выполнить команду для исправления ошибочной ситуации. На первый взгляд, это выглядит как безобидный процесс в рамках работы с IT-инструментами. Однако, на самом деле, после выполнения команды загружается вредоносный код, который в дальнейшем может привести к утечке данных и установке трояна, способного выполнять удалённое управление системой.
В отличие от предыдущих атак, где Interlock использовала фальшивые обновления браузеров или VPN-клиентов, теперь атака распространяется через фальшивые CAPTCHA страницы, под видом которых жертве предлагается скачать якобы полезный инструмент, например, Advanced IP Scanner.
Этот инструмент, на самом деле, приводит к запуску скрытого PowerShell скрипта, который создает для злоумышленников доступ к системе и собирает важную информацию о компьютере жертвы.
Следующим шагом становится эксплуатация украденных учетных данных для перемещения по сети через RDP и другие инструменты удаленного доступа, такие как PuTTY и AnyDesk. В этот момент данные начинают массово вытягиваться на контролируемые злоумышленниками серверы, что немедленно приводит к началу атак с вымогательством. Примечательно, что эта новая тактика была не только замечена в атаках Interlock, но и принята другими группами киберпреступников, включая хакеров из Северной Кореи.
