Подтвердите, что вы не робот: для атак на российские компании стали использовать фейковую CAPTCHA

В мае 2025 года специалисты BI.ZONE Threat Intelligence зафиксировали не менее двух кампаний, в ходе которых злоумышленники использовали технику ClickFix против российских организаций. Маскируясь под силовые ведомства, злоумышленники направляли жертве документ в формате PDF.

Текст внутри был заблюрен так, чтобы прочитать его было невозможно. Чтобы получить доступ к файлу, пользователю предлагали подтвердить, что он не робот. На самом деле нажатие на кнопку перенаправляло жертву на сайт злоумышленников, где пользователь снова видел окно с фейковой CAPTCHA. Кликнув «Я не робот», пользователь незаметно для себя копировал в буфер обмена PowerShell‑сценарий.

Далее жертву просили выполнить на своем устройстве ряд команд — якобы для того, чтобы подтвердить право на доступ к документу и корректно открыть его. На самом деле эти команды запускали вредоносный код, скопированный при нажатии CAPTCHA: сочетание клавиш Win + R открывало окно Run для быстрого запуска программ, Ctrl + V вставляло в это окно скрипт из буфера обмена, а нажатие Enter запускало его.

Скрипт, запущенный пользователем, скачивал с сервера злоумышленников изображение в формате PNG и извлекал из него вредоносную программу — загрузчик Octowave Loader.

Octowave Loader включал в себя несколько компонентов, в том числе множество легитимных файлов, среди которых прятались несколько вредоносных. В одном из них методами стеганографии был скрыт исполняемый код, который в конечном счете запускал на устройстве пользователя еще одну вредоносную программу — ранее не классифицированный и не описанный никем из исследователей троян удаленного доступа (RAT). Скорее всего, он был разработан атакующими самостоятельно.

Обнаруженный RAT сначала отправлял злоумышленникам базовую информацию о скомпрометированной системе (имя пользователя, его права, версия ОС и т. д.), а затем предоставлял им возможность выполнять на устройстве жертвы различные команды и запускать процессы. Такая длинная цепочка атаки с использованием стеганографии нацелена на то, чтобы обойти средства защиты информации и повысить шансы на успешную компрометацию целевой системы.

В качестве PNG‑файла — носителя вредоносного кода злоумышленники использовали мемы политического содержания. Однако жертва не видела содержимое картинки, поскольку файл скачивался незаметно для пользователя и не открывался для просмотра.

Использование злоумышленниками RAT собственной разработки может с высокой вероятностью указывать на то, что целью данных атак был шпионаж. Об этом же косвенно свидетельствует то, что преступники маскировали фишинговые письма под коммуникацию от силовых ведомств — такой почерк наиболее характерен именно для шпионских кластеров активности.

В обеих кампаниях атаки начинались с фишинговых писем. Для фильтрации нежелательных писем необходимо использовать специализированные сервисы защиты почты, например BI.ZONE Mail Security. А отследить подозрительную активность, в том числе связанную с запуском PowerShell, помогут решения класса endpoint detection and response, например BI.ZONE EDR. Они позволяют отследить атаку на ранней стадии и затем оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности.

Злоумышленники постоянно меняют подходы и инструменты, которые используют для совершения атак. Актуальную информацию о ландшафте угроз аккумулируют в себе решения киберразведки, например BI.ZONE Threat Intelligence. Эти данные помогают проактивно защитить компанию и ускорить реагирование на киберинциденты.