Атаки ClickFix расширяются с использованием поддельных CAPTCHA, скриптов Microsoft и доверенных веб-сервисов

ClickFix развивает свою атаку, используя поддельные CAPTCHA и легитимно выглядящий скрипт Microsoft App-V для установки стилера Amatera на корпоративных системах Windows. Это не обычное вредоносное ПО — это сложная операция, которая становится все более изощренной.

Атака начинается с поддельной страницы CAPTCHA, которая на самом деле является ловушкой социальной инженерии. После клика загружается скрипт PowerShell, маскирующийся под подписанный Microsoft скрипт App-V. Этот скрипт затем загружает стилер Amatera с доверенных веб-сервисов, таких как GitHub или Pastebin, делая это похожим на обычный трафик.

Amatera — это серьезная угроза: это стилер информации, который крадет данные браузера, криптокошельки и системную информацию. Он использует техники living-off-the-land, смешиваясь с легитимными процессами, чтобы избежать обнаружения. Это целевая атака на корпоративный уровень, а не случайный спам.

Цепочка атаки отлажена: поддельная CAPTCHA → скрипт PowerShell → загрузка с доверенных сервисов → развертывание Amatera. Она разработана для обхода средств безопасности с использованием подписанных скриптов и распространенных веб-платформ.

Ключевые выводы: ClickFix становится все хитрее, используя собственные инструменты Microsoft против вас. Если вы занимаетесь корпоративной безопасностью, следите за необычной активностью PowerShell и подозрительными страницами CAPTCHA. Это напоминание о том, что даже доверенные сервисы могут быть использованы в злонамеренных целях.