Интересной особенностью данной киберкриминальной кампании является использование достаточно популярного в последнее время приема, когда под видом «верификации пользователя» жертве предлагают скопировать и запустить вредоносный скрипт. Для этих атак наконец-то придумали название: ClickFix. Термин намекает на еще один метод маскировки кибератаки: под средство решения каких-то надуманных проблем с компьютером.
Атака начинается с массовой рассылки владельцам и сотрудникам гостиниц сообщений, зачастую замаскированных под официальное сообщение от сервиса Booking.com:
Отмечены и другие вариации сообщений: это также может быть письмо якобы от клиента с просьбой посмотреть странный отзыв от гостиницы. При переходе по ссылке жертве предлагается «доказать, что вы не робот» как раз путем выполнения вредоносного скрипта. Скрипт заранее помещается в коде фишинговой веб-страницы в буфер обмена: пользователю достаточно вызвать командную строку Windows и вставить код.
В одном из вариантов атаки запускается легитимная утилита mshta.exe. Это рудимент браузера Internet Explorer, позволяющий выполнять приложения, написанные на языке HTML. Загруженный с сайта злоумышленников скрипт выполняется и устанавливает одну из множества вредоносных программ, целью которых является кража пользовательских данных. Среди использованных видов вредоносного ПО упоминаются XWorm, стилер Lumma, VenomRAT, AsyncRAT, DanaBot и троян NetSupport. В других случаях mshta.exe не используется, а вместо него загружается и выполняется скрипт PowerShell или JavaScript.
Техника ClickFix широко освещалась в прошлом году. Примеры, когда пользователей заставляют выполнить вредоносный код через командную строку описаны в исследовании стилера Lumma. Очевидной особенностью данной тактики является ее кроссплатформенность, аналогичные атаки также проводились на пользователей macOS. Гостиничный сектор можно назвать наиболее уязвимым для подобных атак, так как сотрудникам таких организаций приходится постоянно работать с сообщениями клиентов. Но, по данным Microsoft, организаторы этой атаки ранее таргетировали и клиентов гостиниц, а также атаковали пользователей интернет-магазинов.
Что еще произошло
В обновлении iOS 18.3.2 компания Apple серьезную, эксплуатируемую уязвимость в браузерном движке WebKit. Никаких технических подробностей Apple по традиции не сообщает, известно только, что уязвимость CVE-2025-24201 позволяла записывать данные за пределы выделенного диапазона памяти, что в свою очередь позволяло совершить побег из «песочницы» для веб-контента.
Новое исследование экспертов «Лаборатории Касперского» инструментарий APT-группы SideWinder. Еще одна расследует атаки группировок Head Mare и Twelve на российские организации.
Новый критической уязвимости в сетевой веб-камере, которая никогда не будет закрыта. В устройстве Edimax IC-7100 обнаружена проблема CVE-2025-1316, позволяющая получить полный контроль над устройством. Уязвимость требует авторизации, но зачастую такие устройства используют стандартную пару логин-пароль. С начала марта проблема активно эксплуатируется ботнетами на базе Mirai. Производителя, впрочем, здесь тоже можно понять — эта древняя, но до сих пор используемая веб-камера была снята с поддержки больше 10 лет назад.
GitLab закрыл , позволяющие обойти систему аутентификации пользователей в самостоятельно устанавливаемых версиях ПО Community и Enterprise Edition.
Свежий набор исправлений для продуктов Microsoft шесть уязвимостей нулевого дня. Одна из них, , эксплуатируется с марта 2023 года.
компании Socket раскрывает информацию о вредоносных пакетах NPM, распространяемых, предположительно, группировкой из Северной Кореи.
