В мае — начале июня 2025 года 30 российских компаний подверглись атакам с использованием техники ClickFix. Cпециалисты BI.ZONE Threat Intelligence обнаружили атаку. Ранее такая техника применялась только против зарубежных организаций, рассказали информационной службе Хабра в пресс-службе BI.ZONE.

ClickFix заставляет пользователя самостоятельно запускать вредоносный код. В новых атаках злоумышленники маскировались под силовые ведомства. Они рассылали PDF-документы, в которых текст был заблюрен. Чтобы его прочитать, пользователю предлагалось подтвердить, что он не робот. Кнопка «Я не робот» вела на сайт злоумышленников, где открывалось ещё одно окно с фейковой CAPTCHA.
После клика на устройство пользователя незаметно копировался PowerShell‑скрипт в буфер обмена. Затем пользователя просили выполнить команды: нажать Win + R, вставить скрипт с помощью Ctrl + V и нажать Enter. Это приводило к запуску вредоносного кода.
Скрипт скачивал изображение в формате PNG с сервера атакующих. Из него извлекалась вредоносная программа — Octowave Loader. Она включала легитимные файлы, среди которых были спрятаны вредоносные. Один из них скрывал код с помощью стеганографии. Этот код запускал троян удаленного доступа (RAT), ранее не описанный специалистами.
RAT собирал базовую информацию о системе и позволял злоумышленникам выполнять команды на устройстве жертвы. PNG‑файлы маскировались под политические мемы, но пользователь не видел их содержимое — файлы скачивались и открывались незаметно.
Специалисты BI.ZONE Threat Intelligence предполагают, что цель атак — шпионаж. Об этом говорит использование RAT собственной разработки и маскировка писем под официальные уведомления от ведомств.