Специалисты по кибербезопасности из компании Sekoia обнаружили новую волну атак, использующих тактику ClickFix. Злоумышленники создают поддельные страницы Google Meet для распространения вредоносного ПО, нацеленного на пользователей Windows и macOS. Эта кампания представляет серьезную угрозу для корпоративной безопасности, особенно в свете растущей популярности удаленной работы.
Механика атаки ClickFix: социальная инженерия в действии
Атака ClickFix, также известная как ClearFake и OneDrive Pastejacking, использует изощренные методы социальной инженерии. Хакеры отправляют жертвам электронные письма, имитирующие приглашения на деловые встречи в Google Meet. Когда пользователь переходит по ссылке, он попадает на фальшивую страницу, где сталкивается с сообщением о технической проблеме, например, неполадках с микрофоном.
Злоумышленники убеждают жертву вручную скопировать и выполнить вредоносный PowerShell-код, якобы для устранения проблемы. На самом деле этот код загружает и устанавливает на устройство опасное вредоносное ПО.
Целевые аудитории и распространение вредоносного ПО
Исследователи отмечают, что атаки в основном нацелены на транспортные и логистические компании. Это может быть связано с критической важностью этих отраслей для глобальной экономики и потенциально высокой ценностью похищенных данных.
Для пользователей Windows атака приводит к установке инфостилеров StealC и Rhadamanthys. Пользователям macOS предлагается загрузить вредоносный файл образа, содержащий стилер Atomic.
Признаки фишинговых доменов
Эксперты Sekoia выявили ряд подозрительных доменов, используемых в этой кампании. Они часто имитируют легитимные URL-адреса Google Meet, например:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.web-joining[.]com
Важно отметить, что настоящие URL-адреса Google Meet всегда заканчиваются на «google.com» без дополнительных элементов.
Связь с известными хакерскими группировками
Аналитики Sekoia связывают эту кампанию с деятельностью двух хакерских групп: Slavic Nation Empire (также известной как Slavice Nation Land) и Scamquerteo. Обе группы являются подразделениями более крупных объединений markopolo и CryptoLove.
Исследователи предполагают, что эти группировки могут использовать общую инфраструктуру и материалы для создания фишинговых страниц. Это указывает на возможное существование неизвестного ранее хакерского сервиса, предоставляющего инструменты для проведения подобных атак.
Кампания ClickFix подчеркивает растущую изощренность кибератак и важность постоянной бдительности. Организациям рекомендуется усилить обучение сотрудников по вопросам кибербезопасности, уделяя особое внимание распознаванию фишинговых писем и подозрительных веб-страниц. Регулярное обновление программного обеспечения и использование надежных решений для защиты от вредоносных программ остаются ключевыми мерами в борьбе с подобными угрозами.
