Вымогательская хакерская группа Interlock адаптировала свою тактику распространения вредоносного программного обеспечения, переключившись на использование инновационной техники FileFix. Данный метод представляет собой эволюцию известных ClickFix-атак и направлен на обман пользователей с целью самостоятельного заражения их систем троянами удаленного доступа (RAT).
Эволюция атак социальной инженерии: от ClickFix к FileFix
Техника ClickFix, основанная на принципах социальной инженерии, получила широкое распространение среди киберпреступников. Согласно данным компании ESET, использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период с второй половины 2024 года по первую половину 2025 года. Злоумышленники заманивают жертв на мошеннические веб-ресурсы, где обманом заставляют копировать и выполнять вредоносные PowerShell-команды.
Преступники мотивируют пользователей выполнить подозрительные действия под предлогом решения проблем с отображением контента в браузере или необходимости прохождения фальшивой CAPTCHA. Хотя изначально атаки были ориентированы на пользователей Windows, специалисты по информационной безопасности уже зафиксировали кампании, направленные против пользователей macOS и Linux.
Механизм работы FileFix: новый уровень обмана
Техника FileFix, недавно описанная экспертом по информационной безопасности mr.d0x, представляет собой усовершенствованную версию ClickFix-атак. Ключевое отличие заключается в использовании привычного для пользователей интерфейса «Проводника» Windows вместо командной строки, что значительно снижает подозрения потенциальных жертв.
На вредоносной странице пользователю сообщается о предоставлении общего доступа к определенному файлу. Для его поиска жертве предлагается скопировать путь и вставить его в «Проводник». Фишинговая страница может содержать кнопку «Открыть Проводник», которая при нажатии запустит File Explorer и скопирует PowerShell-команду в буфер обмена. После вставки пути к файлу и нажатия Enter происходит выполнение вредоносной команды.
Распространение Interlock RAT через сложную инфраструктуру
Специалисты The DFIR Report и Proofpoint еще в начале мая 2025 года предупреждали о распространении Interlock RAT посредством KongTuke (LandUpdate808) — сложной системы распределения трафика (TDS). Этот многоступенчатый процесс включает использование ClickFix и фальшивых CAPTCHA для заражения вредоносным программным обеспечением.
В начале июня хакеры переключились на использование FileFix и начали распространять PHP-вариант Interlock RAT. В некоторых случаях также фиксируется распространение Node.js-версии малвари. Это стало первым публично задокументированным применением тактики FileFix в реальных атаках.
Функциональность и поведение Interlock RAT
После успешного выполнения троян удаленного доступа собирает информацию о системе, используя PowerShell-команды для сбора и передачи данных операторам. Вредоносное ПО проверяет привилегии вошедшего в систему пользователя и закрепляется в системе для ожидания дальнейших команд.
Исследователи отмечают, что злоумышленники явно работают с малварью вручную, проверяя резервные копии, осуществляя навигацию по локальным каталогам и проверку контроллеров домена. В некоторых случаях атакующие использовали RDP для бокового перемещения во взломанных средах.
Использование легитимных сервисов для сокрытия активности
В качестве управляющего сервера вредонос эксплуатирует trycloudflare.com, злоупотребляя легитимной службой Cloudflare Tunnel для маскировки своей активности. Такой подход позволяет преступникам обходить традиционные системы обнаружения и блокировки.
Появление техники FileFix демонстрирует постоянную эволюцию методов социальной инженерии в арсенале киберпреступников. Организациям необходимо усилить обучение сотрудников основам кибербезопасности, особенно в части распознавания подозрительных веб-страниц и запросов на выполнение системных команд. Регулярное обновление систем защиты и внедрение многоуровневой безопасности остаются критически важными мерами для противодействия подобным угрозам.
