Взлом iClicker: студентов заманивали фейковым CAPTCHA и уводили данные через PowerShell

Популярная студенческая платформа iClicker оказалась мишенью масштабной фишинговой атаки, которая маскировалась под обычную CAPTCHA. Пользователей просили подтвердить, что они не роботы, после чего предлагали вручную запустить PowerShell-команду — под предлогом верификации. На деле это был способ заставить жертву установить вредоносный код, способный перехватывать контроль над устройством.

Атака, зафиксированная в период с 12 по 16 апреля 2025 года, была направлена в первую очередь на русскоязычных студентов и преподавателей, использующих VPN или проживающих за пределами США. Об этом сообщили исследователи из F6 и команда Safe Computing Университета Мичигана. Уловка заключалась в том, что после клика по CAPTCHA пользователю в буфер обмена тайно копировался зашифрованный скрипт, а затем — инструкции, как вручную его запустить через диалог Windows Run (Win + R).

По данным экспертов, вредоносный код подключался к удалённому серверу и в зависимости от устройства жертвы либо загружал вредоносный скрипт, либо отвлекал внимание установкой безобидного ПО. Такой подход позволяет избежать обнаружения в песочницах для анализа вирусов. Анализ показал, что цель атаки — кража чувствительной информации: паролей, файлов, криптокошельков и ключей.

Компания Macmillan, владеющая iClicker, проигнорировала запросы журналистов, но опубликовала скрытое от поисковиков заявление, в котором признала факт инцидента. Разработчики уверяют, что ни база пользователей, ни приложения не пострадали. Тем не менее, пользователям, заходившим на сайт в указанный период, рекомендовано срочно сменить пароли и проверить устройства антивирусом.