Поддельные BSOD и доверенные инструменты сборки используют для скрытой установки вредоносов
Аналитики по кибербезопасности подробно разобрали новую кампанию атак, получившую название ClickFix. Злоумышленники комбинируют фишинговые письма, поддельные «синие экраны смерти» Windows (BSOD) и легитимные инструменты сборки, чтобы обманом заставить жертв запускать вредоносный код на своих устройствах.
Схема начинается с фишинговых сообщений, маскируемых под уведомления от платформ для бронирования поездок или платежных сервисов. Получателю предлагается перейти по ссылке для «решения проблемы», после чего на его экране появляется полноэкранный поддельный BSOD, созданный так, чтобы выглядеть как ошибка системы. Это вызывает у пользователя ощущение серьёзного сбоя и побуждает следовать инструкциям «по исправлению».
Инструкции включают выполнение команды через PowerShell или другую командную оболочку, что приводит к загрузке и выполнению следующего этапа вредоноса. Эта последовательность запускает загрузку и исполнение вредоносного кода с помощью доверенного инструмента MSBuild, который применяется легитимно, но в данном случае служит для обхода обнаружения со стороны средств защиты.
ClickFix использует особенности Windows и доверенные компоненты для того, чтобы минимизировать срабатывания антивирусов и EDR-систем, а также создать иллюзию безопасной операции. Аналитики Securonix отмечают, что злоумышленники сознательно полагаются на склонность пользователей реагировать на визуально убедительные ошибки системы и инструкции по «лечению» таких ошибок.
Атака не требует прямого использования уязвимости в операционной системе её успех зависит от взаимодействия пользователя с интерфейсом и выполнения предложенных команд. Это подчёркивает растущую роль социальной инженерии и злоупотребления доверенными инструментами разработчиков как методов доставки и активации вредоносного ПО.
Специалисты предупреждают, что подобные методы могут легко адаптироваться под разные сценарии и бренды, распространяясь через рекламу, почтовые рассылки и соцсети. В ответ организациям и пользователям рекомендуется повышать грамотность по распознаванию фишинговых сообщений, ограничить права на выполнение командных оболочек и внимательно следить за необычными запросами на запуск инструментов после появления системных ошибок.
похожие материалы
В сети появились сообщения об исключении домена YouTube из DNS Роскомнадзора
Telegram-канал ExploitEx сообщил о признаках усиления ограничений в отношении видеохостинга YouTube в России.
Роскомнадзор начал вводить меры по частичному ограничению работы Telegram в России
Власти приняли решение приступить к поэтапному ограничению работы мессенджера Telegram в России.
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок
Центр мониторинга и реагирования на киберугрозы RED Security SOC сообщил о формировании устойчивого тренда на кооперацию политически мотивированных хакерских группировок при атаках на российский бизнес.
Минцифры планирует создать площадку для тестирования ИИ на безопасность
Для систем искусственного интеллекта высокого и критического уровня риска потребуется получать сертификат на соответствие требованиям безопасности Федеральной службы по техническому и экспертному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
«Газинформсервис» подтвердил членство в РОСЭУ и анонсировал создание системы независимого аудита УЦ
Компания «Газинформсервис» подтвердила статус члена Ассоциации РОСЭУ на 2026 год.
BeyondTrust выпустила патч для устранения критической уязвимости
По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей
Объем российского рынка облачных сервисов к 2030 году достигнет 1,2 трлн рублей при среднегодовых темпах роста в 24,4%, говорится в предварительных оценках компаний РТК-ЦОД и iKS-Consulting.
Эксперты предупреждают о рисках использования бесплатных VPN-сервисов
Специалисты по кибербезопасности предупреждают, что бесплатные VPN-сервисы могут представлять серьезные риски для конфиденциальности и безопасности пользователей.
Облака в одном окне: «Группа Астра» анонсирует Clouden для централизованного управления гибридной инфраструктурой
«Группа Астра» вывела на рынок Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
СберКорус и «Актив» выпустили лимитированную партию премиальных ключевых носителей
Оператор электронного документооборота СберКорус совместно с крупнейшим российским производителем и разработчиком программно-аппаратных средств защиты информации.