Как стать автором
Обновить

Для атак на российские компании хакеры стали использовать фейковую CAPTCHA

Время на прочтение2 мин
Количество просмотров2.9K

В мае — начале июня 2025 года 30 российских компаний подверглись атакам с использованием техники ClickFix. Cпециалисты BI.ZONE Threat Intelligence обнаружили атаку. Ранее такая техника применялась только против зарубежных организаций, рассказали информационной службе Хабра в пресс-службе BI.ZONE.

Сгенерировано в Leonardo.Ai
Сгенерировано в Leonardo.Ai

ClickFix заставляет пользователя самостоятельно запускать вредоносный код. В новых атаках злоумышленники маскировались под силовые ведомства. Они рассылали PDF-документы, в которых текст был заблюрен. Чтобы его прочитать, пользователю предлагалось подтвердить, что он не робот. Кнопка «Я не робот» вела на сайт злоумышленников, где открывалось ещё одно окно с фейковой CAPTCHA.

После клика на устройство пользователя незаметно копировался PowerShell‑скрипт в буфер обмена. Затем пользователя просили выполнить команды: нажать Win + R, вставить скрипт с помощью Ctrl + V и нажать Enter. Это приводило к запуску вредоносного кода.

Скрипт скачивал изображение в формате PNG с сервера атакующих. Из него извлекалась вредоносная программа — Octowave Loader. Она включала легитимные файлы, среди которых были спрятаны вредоносные. Один из них скрывал код с помощью стеганографии. Этот код запускал троян удаленного доступа (RAT), ранее не описанный специалистами.

RAT собирал базовую информацию о системе и позволял злоумышленникам выполнять команды на устройстве жертвы. PNG‑файлы маскировались под политические мемы, но пользователь не видел их содержимое — файлы скачивались и открывались незаметно.

Специалисты BI.ZONE Threat Intelligence предполагают, что цель атак — шпионаж. Об этом говорит использование RAT собственной разработки и маскировка писем под официальные уведомления от ведомств.

Теги:
Хабы:
+4
Комментарии25

Другие новости