Для атак на российские компании стали использовать фейковую CAPTCHA
Около 30 российских компаний были атакованы в мае — начале июня с использованием техники ClickFix, которая заставляет пользователей самостоятельно запускать вредоносные скрипты. Ранее таким атакам подвергались только зарубежные организации.
В мае 2025 года специалисты BI.ZONE Threat Intelligence зафиксировали не менее двух кампаний, в ходе которых злоумышленники использовали технику ClickFix против российских организаций. Маскируясь под силовые ведомства, злоумышленники направляли жертве документ в формате PDF.
Текст внутри был заблюрен так, чтобы прочитать его было невозможно. Чтобы получить доступ к файлу, пользователю предлагали подтвердить, что он не робот. На самом деле нажатие на кнопку перенаправляло жертву на сайт злоумышленников, где пользователь снова видел окно с фейковой CAPTCHA. Кликнув «Я не робот», пользователь незаметно для себя копировал в буфер обмена PowerShell-сценарий.
Далее жертву просили выполнить на своем устройстве ряд команд — якобы для того, чтобы подтвердить право на доступ к документу и корректно открыть его. На самом деле эти команды запускали вредоносный код, скопированный при нажатии CAPTCHA: сочетание клавиш Win + R открывало окно Run для быстрого запуска программ, Ctrl + V вставляло в это окно скрипт из буфера обмена, а нажатие Enter запускало его.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, говорит: «Техника ClickFix получила такое название, потому что злоумышленники предлагают пользователю выполнить ряд простых действий, чтобы исправить какую-либо техническую проблему. По сути, жертву убеждают выполнить вредоносную команду самостоятельно. Технику ClickFix атакующие используют с весны 2024 года, однако против компаний из России и других стран СНГ она применяется впервые. Злоумышленники продолжают экспериментировать с методами социальной инженерии, используя новые, пока еще незнакомые пользователям сценарии, которые сложнее распознать».
Скрипт, запущенный пользователем, скачивал с сервера злоумышленников изображение в формате PNG и извлекал из него вредоносную программу — загрузчик Octowave Loader.
Octowave Loader включал в себя несколько компонентов, в том числе множество легитимных файлов, среди которых прятались несколько вредоносных. В одном из них методами стеганографии был скрыт исполняемый код, который в конечном счете запускал на устройстве пользователя еще одну вредоносную программу — ранее не классифицированный и не описанный никем из исследователей троян удаленного доступа (RAT). Скорее всего, он был разработан атакующими самостоятельно.
Обнаруженный RAT сначала отправлял злоумышленникам базовую информацию о скомпрометированной системе (имя пользователя, его права, версия ОС и т. д.), а затем предоставлял им возможность выполнять на устройстве жертвы различные команды и запускать процессы. Такая длинная цепочка атаки с использованием стеганографии нацелена на то, чтобы обойти средства защиты информации и повысить шансы на успешную компрометацию целевой системы.
В качестве PNG-файла — носителя вредоносного кода злоумышленники использовали мемы политического содержания. Однако жертва не видела содержимое картинки, поскольку файл скачивался незаметно для пользователя и не открывался для просмотра.
Использование злоумышленниками RAT собственной разработки может с высокой вероятностью указывать на то, что целью данных атак был шпионаж. Об этом же косвенно свидетельствует то, что преступники маскировали фишинговые письма под коммуникацию от силовых ведомств — такой почерк наиболее характерен именно для шпионских кластеров активности.
В обеих кампаниях атаки начинались с фишинговых писем. Для фильтрации нежелательных писем необходимо использовать специализированные сервисы защиты почты, например BI.ZONE Mail Security. А отследить подозрительную активность, в том числе связанную с запуском PowerShell, помогут решения класса endpoint detection and response, например BI.ZONE EDR. Они позволяют отследить атаку на ранней стадии и затем оперативно отреагировать на угрозу в автоматическом режиме или с помощью команды кибербезопасности.
Злоумышленники постоянно меняют подходы и инструменты, которые используют для совершения атак. Актуальную информацию о ландшафте угроз аккумулируют в себе решения киберразведки, например BI.ZONE Threat Intelligence. Эти данные помогают проактивно защитить компанию и ускорить реагирование на киберинциденты.
О компании
BI.ZONE — компания по управлению цифровыми рисками, она помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов.
