Хакеры нашли способ превратить капчу в оружие для кибератак

С приближением сезона отпусков угроза фишинговых атак возрастает, и одной из самых действенных схем последнего года остается ClickFix, нацеленная на пользователей Mac и PC. Достаточно скопировать и выполнить всего одну строку в системном терминале. После этого компьютер автоматически подключается к удаленному серверу, загружает и запускает вредоносное ПО, причем процесс не прерывается предупреждениями безопасности. Успех атаки ClickFix зиждется на психологической склонности доверять знакомым источникам.

Жертву незаметно подталкивают к переходу по реалистично выглядящей ссылке, отправленной из взломанного аккаунта гостиницы или системы бронирования. Далее пользователь видит капчу или аналогичную ей проверку Cloudflare. Для подтверждения, что он человек, ему предлагается скопировать короткую строку в терминал. И это безобидное на первый взгляд действие позволяет обойти почти все современные средства защиты рабочих станций.

Выполненная команда запускает удаленный скрипт, который автоматически устанавливает вредоносные программы. Привлекательность ClickFix для киберпреступников заключается в сочетании точной социальной инженерии и эксплуатации доверия к самой операционной системе. Поскольку команды выполняются ее нативными утилитами, такими как PowerShell или Bash, многие средства защиты не могут их распознать. Этот метод, известный как «атаки LOLbin», полагается на встроенные инструменты ОС, что делает его практически невидимым для сигнатурного анализа.

Исследования Push Security показывают, что новые варианты ClickFix определяют операционную систему жертвы перед отправкой вредоносного кода. Microsoft подтверждает использование адаптивных скриптов, которые полностью выполняются в памяти компьютера, что позволяет обходить антивирусы, отслеживающие файловую активность. Дополнительная обфускация команд с помощью кодировки Base64 скрывает настоящий код от пользователя, оставаясь понятной для системы.

Эволюция ClickFix демонстрирует общий тренд: технические барьеры заменяются поведенческими манипуляциями. Угроза основана не на уязвимостях ПО, а на эксплуатации доверчивости и привычек пользователей, которые научились избегать сомнительных ссылок, но все еще слепо доверяют инструкциям, связанным с системными процессами. В результате этот вектор угрозы опережает общественную осведомленность и сводит на нет эффективность многих традиционных методов защиты.Источник &#8212 Ars Technica