«Скопируй это, вставь то… Ой, а что это?»: социальная инженерия выходит на новый уровень

Группы хакеров , действующие в интересах правительств Ирана и КНДР, в конце 2024 года начали активно использовать новую тактику социальной инженерии под названием ClickFix. По информации исследовательской компании Proofpoint, за три месяца её задействовали как минимум три кибершпионские группы — TA427 (Kimsuky), TA450 (MuddyWater) и UNK_RemoteRogue.

Изначально ClickFix применялась преимущественно киберпреступниками, но её эффективность в обходе защитных механизмов привлекла внимание и более серьёзных игроков. Метод основан на обмане пользователя, которому под предлогом устранения неполадок или подтверждения действий предлагается самостоятельно скопировать, вставить и запустить вредоносную команду в PowerShell или другом терминале.

В январе и феврале 2025 года TA427 применяла эту тактику в атаках на сотрудников аналитических центров, изучающих ситуацию в КНДР. Злоумышленники начинали общение с жертвой с поддельного приглашения на встречу якобы от японского дипломата.

После установления контакта они присылали PDF-файл с якобы обсуждаемыми вопросами и ссылкой, которая вела на фальшивую копию сайта посольства Японии. На странице предлагалось зарегистрировать устройство, выполнив команду в PowerShell. Запущенный скрипт загружал вторую команду, показывавшую подложный PDF с вопросами и параллельно устанавливавшую Quasar RAT — удалённую утилиту для шпионажа с открытым исходным кодом.

Группа TA450 из Ирана также перешла на ClickFix. В ноябре 2024 года, в дни выхода обновлений от Microsoft, злоумышленники рассылали письма от имени компании, в которых предлагали устранить фиктивную уязвимость вручную. Жертву убеждали запустить PowerShell от имени администратора и выполнить указанную в письме команду.

В результате происходила установка легитимного программного обеспечения удалённого администрирования Level, которое впоследствии использовалось для наблюдения и кражи данных. Атаки были нацелены на государственные, финансовые, медицинские и транспортные организации в странах Ближнего Востока, а также в Канаде, Германии, Швейцарии и США.

К концу 2024 года к тактике присоединилась группа UNK_RemoteRogue. С использованием скомпрометированных почтовых серверов Zimbra они отправляли письма с ссылками на документы Microsoft Office. Переход по ссылке открывал страницу с пошаговой инструкцией и даже видеоруководством на YouTube, объясняющим, как запустить PowerShell и вставить в него команду.

Сценарий был запрограммирован на запуск JavaScript, исполнявшего PowerShell-код, связанный с инфраструктурой Empire — инструментария управления и контроля над заражённой системой. Данная кампания была направлена на две организации, связанные с крупным производителем вооружений, и, по оценкам, пересекалась по инфраструктуре с другими атаками, нацеленными на оборонный и аэрокосмический сектор.

Эксперты отмечают, что внедрение ClickFix не меняет полностью архитектуру атак, но позволяет упростить этапы установки вредоносного ПО. Вместо загрузки исполняемых файлов пользователи сами, добровольно, запускают нужные команды под видом «проверки» или «регистрации устройства». Подобный подход снижает вероятность срабатывания средств защиты и позволяет злоумышленникам действовать более незаметно.

Несмотря на то, что метод не используется постоянно, его популярность среди разных государств в столь короткие сроки говорит о высокой эффективности. По мнению аналитиков, с большой долей вероятности и другие группировки из Ирана и КНДР уже экспериментировали с ClickFix или вскоре начнут делать это.