Експерти з кібербезпеки компанії Sekoia виявили нову хвилю атак під назвою ClickFix, яка становить серйозну загрозу для корпоративної безпеки. Зловмисники створюють підроблені сторінки Google Meet для поширення шкідливого програмного забезпечення, націленого на користувачів Windows та macOS. Ця кампанія викликає особливе занепокоєння на тлі зростаючої популярності віддаленої роботи.
Механізм атаки ClickFix: витончена соціальна інженерія
Атака ClickFix, також відома як ClearFake та OneDrive Pastejacking, використовує складні методи соціальної інженерії. Хакери надсилають жертвам електронні листи, що імітують запрошення на ділові зустрічі в Google Meet. Коли користувач переходить за посиланням, він потрапляє на фальшиву сторінку, де стикається з повідомленням про технічну проблему, наприклад, несправності мікрофона.
Зловмисники переконують жертву вручну скопіювати та виконати шкідливий PowerShell-код, нібито для усунення проблеми. Насправді цей код завантажує та встановлює на пристрій небезпечне шкідливе ПЗ, компрометуючи безпеку системи.
Цільові аудиторії та розповсюдження шкідливого ПЗ
Дослідники відзначають, що атаки в основному спрямовані на транспортні та логістичні компанії. Це може бути пов’язано з критичною важливістю цих галузей для глобальної економіки та потенційно високою цінністю викрадених даних.
Для користувачів Windows атака призводить до встановлення інфостилерів StealC та Rhadamanthys. Користувачам macOS пропонується завантажити шкідливий файл образу, що містить стилер Atomic.
Ознаки фішингових доменів
Експерти Sekoia виявили ряд підозрілих доменів, що використовуються в цій кампанії. Вони часто імітують легітимні URL-адреси Google Meet, наприклад:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.web-joining[.]com
Важливо зазначити, що справжні URL-адреси Google Meet завжди закінчуються на “google.com” без додаткових елементів.
Зв’язок з відомими хакерськими угрупованнями
Аналітики Sekoia пов’язують цю кампанію з діяльністю двох хакерських груп: Slavic Nation Empire (також відома як Slavice Nation Land) та Scamquerteo. Обидві групи є підрозділами більших об’єднань markopolo та CryptoLove. Дослідники припускають, що ці угруповання можуть використовувати спільну інфраструктуру та матеріали для створення фішингових сторінок, що вказує на можливе існування невідомого раніше хакерського сервісу.
Кампанія ClickFix підкреслює зростаючу витонченість кібератак та важливість постійної пильності. Організаціям рекомендується посилити навчання співробітників з питань кібербезпеки, приділяючи особливу увагу розпізнаванню фішингових листів та підозрілих веб-сторінок. Регулярне оновлення програмного забезпечення та використання надійних рішень для захисту від шкідливих програм залишаються ключовими заходами в боротьбі з подібними загрозами. Впровадження багатофакторної автентифікації та застосування принципу найменших привілеїв також можуть значно підвищити рівень захисту корпоративних мереж від атак типу ClickFix.
