Дослідники зафіксували нову технічно складну ClickFix-кампанію, у якій зловмисники поєднують соціальну інженерію, підроблену CAPTCHA та легітимні компоненти Microsoft Application Virtualization (App‑V) для непомітного розгортання інфостілера Amatera. Атака побудована за принципом living off the land: максимально використовуються штатні інструменти Windows і популярні хмарні сервіси, що суттєво ускладнює виявлення за допомогою класичних засобів захисту.
ClickFix: еволюція від PowerShell-команд до фальшивих CAPTCHA
Класичні ClickFix-атаки змушують користувача власноруч запустити шкідливу команду, зазвичай у PowerShell. Жертву перенаправляють на сторінку з нібито критичною помилкою браузера, псевдо-BSOD або «збоєм відображення», після чого переконують скопіювати та виконати запропоновану команду. Оскільки запуск ініціює сам користувач, такі інциденти часто «прослизають» повз системи запобігання вторгненням.
У новій модифікації схеми атакувальники використовують підроблену CAPTCHA‑сторінку. Замість звичного тесту «я не робот» користувачу пояснюють, що для продовження перевірки потрібно скопіювати рядок і виконати його через вікно Windows Run (Win+R). Така форма соціальної інженерії виглядає достатньо правдоподібно і знижує настороженість навіть технічно підкованих користувачів. Хоча ClickFix насамперед асоціюється з Windows, подібні прийоми вже адаптували під macOS і Linux, що підкреслює універсальність моделі атаки.
Зловживання App-V, wscript.exe та анти-sandbox перевірки
Скопійована жертвою команда задіює легітимний скрипт SyncAppvPublishingServer.vbs із пакету Microsoft App‑V, який у штатному режимі використовується для публікації й керування віртуалізованими корпоративними застосунками. Скрипт запускається через довірений системний інтерпретатор wscript.exe, а вже той передає управління PowerShell. У результаті шкідлива активність маскується під звичайні адміністративні операції, а кореляція подій у системах моніторингу ускладнюється.
На ранньому етапі малварь виконує низку анти‑sandbox перевірок. Вона оцінює, чи дійсно команда була запущена вручну користувачем, контролює очікувану послідовність дій і вміст буфера обміну. Якщо виявляються ознаки автоматизованого аналізу, модифікації команд або «нелогічна» поведінка середовища, шкідливий код переводить себе у режим безкінечного очікування, фактично зриваючи динамічний аналіз у пісочниці.
Google Calendar як приховане C2-сховище та невидимий PowerShell через WMI
Після проходження всіх перевірок малварь не звертається до традиційного C2‑сервера, а отримує конфігурацію з публічного календаря Google Calendar. В одному з подій зберігаються параметри, закодовані у base64 (адреси, ключі, налаштування подальшої взаємодії). Використання популярного хмарного сервісу дозволяє трафіку маскуватися під звичайну активність користувача та ускладнює блокування на рівні мережевих фільтрів.
На наступному етапі атакувальники створюють за допомогою WMI прихований 32‑бітний процес PowerShell, який завантажує кілька вбудованих пейлоадів безпосередньо в оперативну пам’ять. Такий fileless‑підхід мінімізує кількість артефактів на диску, роблячи традиційні антивіруси менш ефективними і зміщуючи акцент захисту в бік поведінкового аналізу та контролю скриптової активності.
Стеганографія в PNG і файллес-розгортання інфостілера Amatera
Подальша ланка зараження спирається на стеганографію. Зашифрований пейлоад PowerShell ховається в PNG‑зображеннях, розміщених у публічних CDN. Доступ до картинок здійснюється через API WinINet, тому мережеві звернення виглядають як стандартні HTTP‑запити до легітимних ресурсів. Дані витягуються за допомогою LSB‑стеганографії (Least Significant Bit), після чого розшифровуються, розпаковуються через GZip та виконуються виключно в пам’яті.
На фінальному етапі PowerShell розшифровує і запускає власний шеллкод, який розгортає на хості інфостілер Amatera. Після старту шкідлива програма підключається до жорстко прописаної IP‑адреси, отримує маппінг доступних endpoint’ів та очікує додаткові бінарні модулі, що доставляються через HTTP POST. Така модульна архітектура дозволяє операторам гнучко змінювати функціонал, підвантажуючи потрібні компоненти за вимогою.
Amatera як malware-as-a-service та ризики для організацій
За даними профільних досліджень, Amatera є класичним інфостілером, що базується на коді стилера ACR і розповсюджується за моделлю malware‑as‑a‑service (MaaS). Інструмент орієнтований на крадіжку даних браузерів, облікових записів та інших конфіденційних артефактів, які мають високу цінність на підпільних ринках. Модель MaaS знижує поріг входу для менш технічних зловмисників: їм пропонують готову інфраструктуру, панелі керування та «підтримку», що прискорює поширення таких рішень.
Основні ризики ClickFix-кампанії та практичні заходи захисту
Небезпека описаної кампанії полягає у поєднанні кількох факторів: потужної соціальної інженерії, зловживання легітимними компонентами Windows (App‑V, wscript.exe, WMI, PowerShell), використання популярних хмарних сервісів і CDN, а також застосування стеганографії та fileless‑технік. За оцінками відкритих галузевих звітів, соціальна інженерія виступає початковим вектором більш ніж для 70% успішних атак, тож ClickFix‑сценарії залишаються критично актуальними для організацій будь-якого масштабу.
Рекомендовані заходи зниження ризиків включають: посилення політик використання PowerShell (зокрема, Constrained Language Mode та Script Block Logging), моніторинг і обмеження запуску App‑V‑скриптів і wscript.exe, контроль WMI‑активності та створення прихованих процесів, впровадження фільтрації мережевого трафіку з аналізом підозрілих звернень до хмарних сервісів і CDN, а також систематичне навчання співробітників розпізнаванню фальшивих CAPTCHA, псевдо‑помилок та запитів на ручний запуск команд.
Швидка еволюція ClickFix‑кампаній із залученням App‑V, стеганографії та інфостілера Amatera демонструє, що орієнтація лише на сигнатурні рішення вже недостатня. Організаціям доцільно переходити до комплексного поведінкового моніторингу, жорсткого управління скриптовою інфраструктурою та підвищення обізнаності користувачів. Чим менше шансів, що співробітник скопіює і запустить «рекомендовану» команду з екрана, тим складніше кіберзлочинцям реалізувати подібні ланцюжки атак і тим вищою буде стійкість компанії до сучасних загроз.
