ClickFix колдонуучу жасалма CAPTCHA, Microsoft скрипттери жана ишенимдүү веб-сервистер менен колдонулуп, атакалар кеңейет

ClickFix корпоративдүү Windows системаларында Amatera стилерин орнотуу үчүн жасалма CAPTCHA жана легитимдүү көрүнгөн Microsoft App-V скрипти колдонуп, атакасын өнүктүрөт. Бул сиздин энеңиздин зыяндуу программасы эмес — бул татаал операция, ал өнүгүп жатат.

Атака жасалма CAPTCHA баракчасы менен башталат, ал иш жүзүндө социалдык инженериялык капкан. Чыкылдагандан кийин, ал Microsoft кол коюлган App-V скрипти катары жашырылган PowerShell скрипти жүктөйт. Бул скрипт андан кийин Amatera стилерин GitHub же Pastebin сыяктуу ишенимдүү веб-сервистерден тартып алат, аны кадимки трафик сыяктуу көрсөтөт.

Amatera — бул оюн эмес: бул браузер маалыматтарын, крипто капчыктарын жана система маалыматтарын уурдаган маалымат стили. Ал табылбоо үчүн легитимдүү процесстер менен аралашып, living-off-the-land техникаларын колдонот. Бул корпоративдүү деңгээлдеги максат, кокус спам эмес.

Атака чынжыры жылмакай: жасалма CAPTCHA → PowerShell скрипти → ишенимдүү сервистерден жүктөө → Amatera орнотуу. Ал кол коюлган скрипттер жана кеңири таралган веб-платформаларды колдонуп, коопсуздук куралдарын айланып өтүү үчүн иштелип чыккан.

Негизги жыйынтыктар: ClickFix Microsoft'тун өз куралдарын сизге каршы колдонуп, айлакер болуп жатат. Эгер сиз корпоративдүү коопсуздук менен алек болсоңуз, PowerShell активдүүлүгүнө жана CAPTCHA баракчаларына көңүл буруңуз. Бул ишенимдүү сервистердин да зыяндуу максаттарда колдонулушу мүмкүн экенин эске салат.