В начале июня специалисты BI.ZONE Threat Intelligence обнаружили атаки на около 30 российских компаний с использованием метода ClickFix. Ранее эта техника применялась только против иностранных организаций. Хакеры рассылали фальшивые письма от имени силовых структур с заблюренными PDF-вложениями. Чтобы получить доступ к файлу, пользователям предлагали подтвердить, что они не роботы, при этом клик по CAPTCHA незаметно копировал вредоносный скрипт PowerShell в буфер обмена.
Далее жертв уговаривали выполнить несколько команд для «правильного» открытия документа. Комбинация клавиш Win + R, Ctrl + V и Enter запускала код, который загружал вредоносное ПО с сервера злоумышленников. Среди этого ПО был загрузчик Octowave Loader, который прятал вредоносные программы внутри файлов PNG с использованием стеганографии. Одной из таких программ оказался новый троян удалённого доступа (RAT), вероятно, разработанный хакерами для шпионажа.
Атаки начинались с поддельных писем и были направлены на обход систем защиты. RAT позволял злоумышленникам собирать данные о системе и выполнять команды на устройствах жертв. Специалисты подчеркивают важность использования почтовых фильтров и решений EDR для обнаружения и предотвращения атак на ранних стадиях. Такие меры могут значительно снизить риск успешной компрометации.
Как сообщалось ранее — Дождались: бунт тысяч мигрантов взорвал страну