Исследователи BlackPoint Cyber зафиксировали новую, технически сложную кампанию, в которой злоумышленники совмещают социальную инженерию по схеме ClickFix, поддельную CAPTCHA и легитимные компоненты Microsoft Application Virtualization (App‑V) для скрытой доставки инфостилера Amatera. Атака демонстрирует типичный для современных кампаний подход «living off the land» — максимальное использование доверенных системных инструментов и облачных сервисов для обхода защитных механизмов.
Эволюция ClickFix: от PowerShell-команд к фальшивой CAPTCHA
ClickFix‑атаки опираются на принуждение пользователя вручную выполнить вредоносную команду. Классический сценарий выглядит так: жертву перенаправляют на сайт с «ошибкой отображения», псевдо‑BSOD или уведомлением о проблеме в браузере и убеждают скопировать и запустить предложенную команду PowerShell. Пользователь фактически сам инициирует заражение, и это существенно усложняет детектирование на уровне классических систем предотвращения вторжений.
В новой вариации схемы злоумышленники используют поддельную CAPTCHA‑страницу. Вместо обычного решения задачки «я не робот» пользователю предлагают «для продолжения проверки» скопировать строку и запустить её через окно Windows Run (Win+R). Такая маскировка повышает доверие и снижает настороженность даже у относительно подготовленных пользователей. Хотя ClickFix традиционно ассоциируется с атаками на Windows, ранее уже фиксировались модификации против macOS и Linux, что подчёркивает универсальность подхода социальной инженерии.
Злоупотребление App‑V и системным wscript.exe
Копируемая жертвой команда задействует легитимный скрипт SyncAppvPublishingServer.vbs из состава Microsoft App‑V, предназначенный для публикации и управления виртуализированными корпоративными приложениями. Скрипт запускается через доверенный системный интерпретатор wscript.exe, который, в свою очередь, инициирует выполнение PowerShell‑команд. Такой подход позволяет злоумышленникам маскировать активность под штатные операции и усложняет корреляцию событий в системах мониторинга.
На ранней стадии малварь проводит несколько проверок среды: убеждается, что команда была запущена именно вручную пользователем, контролирует ожидаемый порядок действий и содержимое буфера обмена. Если обнаруживаются признаки песочницы, автоматизированного анализа или изменения команд, вредоносный код переходит в состояние бесконечного ожидания, сводя на нет результаты динамического анализа. Это типичный пример анти‑sandbox‑техник, которые всё чаще используются в современных кампаниях.
Google Calendar как хранилище конфигурации и скрытый PowerShell через WMI
После успешного прохождения проверок малварь извлекает конфигурационные данные не с классического C2‑сервера, а из публичного календаря Google Calendar. В одном из событий содержатся значения, закодированные в base64, где хранятся параметры дальнейшего взаимодействия. Использование популярного облачного сервиса позволяет атакующим раствориться в легитимном трафике и осложняет блокировку на уровне сетевых фильтров.
На последующих этапах злоумышленники создают через WMI скрытый 32‑битный процесс PowerShell, который загружает несколько встроенных пейлоадов напрямую в память (fileless‑подход). Отсутствие явных исполняемых файлов на диске заметно снижает эффективность традиционных антивирусных решений и переносит фокус защиты на поведенческий анализ и контроль скриптовой активности.
Стеганография в PNG и развертывание инфостилера Amatera
Дальнейшая цепочка заражения переходит к использованию стеганографии. Зашифрованный PowerShell‑пейлоад скрывается в PNG‑изображениях, размещённых в публичных CDN. Доступ к этим изображениям осуществляется через API WinINet, что ещё больше маскирует вредоносный трафик под обычные HTTP‑запросы. Извлечение данных реализовано методом LSB‑стеганографии (Least Significant Bit), после чего содержимое расшифровывается, распаковывается через GZip и исполняется исключительно в памяти системы.
На финальном этапе PowerShell расшифровывает и запускает собственный шеллкод, который разворачивает в системе жертвы инфостилер Amatera. После запуска вредонос подключается к жёстко прописанному IP‑адресу, получает маппинг доступных endpoint’ов и ожидает дополнительные бинарные модули, доставляемые через HTTP POST‑запросы. Такая модульная архитектура повышает гибкость атаки и позволяет операторам подгружать нужные функции по требованию.
Amatera как malware-as-a-service: функционал и модель угроз
По данным различных исследовательских компаний, включая Proofpoint, Amatera является классическим инфостилером, основанным на исходном коде стилера ACR и активно развиваемым по модели malware‑as‑a‑service. Инструмент ориентирован на кражу браузерных данных, учётных записей и других чувствительных артефактов, что делает его востребованным на подпольных рынках. Модель «малварь‑как‑услуга» снижает порог входа для киберпреступников и способствует быстрому распространению подобных инструментов за счёт готовой инфраструктуры, панелей управления и технической поддержки от операторов.
Ключевые риски и практические рекомендации по защите
Опасность описанной кампании заключается в сочетании нескольких факторов: социальная инженерия с вовлечением пользователя, злоупотребление легитимными компонентами Windows (App‑V, wscript.exe, WMI, PowerShell), использование облачных сервисов и CDN для конфигурации и доставки, а также применение стеганографии и fileless‑техник. По данным различных отраслевых отчётов, социальная инженерия остаётся начальной стадией более чем 70% успешных атак, что делает подобные схемы крайне актуальными для организаций любого масштаба.
Рекомендуемые меры снижения рисков: ужесточение политик использования PowerShell (Constrained Language Mode, журналирование Script Block Logging), мониторинг и ограничение использования App‑V‑скриптов и wscript.exe, контроль WMI‑активности и создания скрытых процессов, внедрение фильтрации сетевого трафика с анализом обращений к нестандартным облачным ресурсам, а также регулярное обучение сотрудников распознаванию поддельных CAPTCHA, «ошибок» отображения контента и запросов на ручной запуск команд.
Появление новой схемы ClickFix с использованием App‑V и стеганографии наглядно демонстрирует, как быстро эволюционируют методы доставки инфостилеров вроде Amatera. Организациям имеет смысл пересмотреть подход к защите: сместить акцент с исключительно сигнатурных решений на комплексный поведенческий мониторинг, жёсткое управление скриптовой инфраструктурой и постоянное повышение осведомлённости пользователей. Чем меньше вероятность того, что сотрудник скопирует и выполнит «рекомендованную» команду, тем сложнее злоумышленникам реализовать подобные цепочки атак.
