✔Для доставки малвари Interlock применяется техника FileFix - «Новости»

16 июля 2025 25 Новости / Сайтостроение / Преимущества стилей / Самоучитель CSS / Текст / Вёрстка 0

Вымогательская хак-группа Interlock распространяет через взломанные сайты троян удаленного доступа (RAT). Хакеры используют для доставки малвари атаки FileFix.

Атаки ClickFix построены на социальной инженерии. В последнее время различные вариации этих атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют скопировать в буфер и выполнить вредоносные команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.

Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA.

Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ИБ-специалисты уже предупреждали и о кампаниях, направленных на пользователей macOS и Linux.

По данным ESET, использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период со второй половины 2024 года по первую половину 2025 года.

Техника FileFix, недавно описанная ИБ-экспертом mr.d0x, представляет собой вариант атаки ClickFix, но использует не командную строку, а более привычный для пользователей интерфейс «Проводника» в Windows (File Explorer).

Так, на вредоносной странице пользователю сообщают, что ему предоставлен общий доступ к некому файлу. Чтобы найти этот файл, путь якобы нужно скопировать и вставить в «Проводник».

«Фишинговая страница может содержать кнопку “Открыть Проводник”, которая при нажатии запустит File Explorer (используя функциональность для загрузки файлов) и скопирует PowerShell-команду в буфер обмена», — объяснял mr.d0x.

То есть после вставки пути к файлу и нажатия Enter произойдет выполнение вредоносной PowerShell-команды.

Еще в начале мая 2025 года специалисты The DFIR Report и Proofpoint предупреждали, что Interlock RAT распространяется посредством KongTuke (или LandUpdate808) — сложной системы распределения трафика (TDS), что приводит к заражению вредоносным ПО через многоступенчатый процесс, включающий использование ClickFix и фальшивых CAPTCHA.

Как стало известно теперь, в начале июня хакеры переключились на использование FileFix и начали распространять PHP-вариант Interlock RAT. Специалисты The DFIR Report сообщают, что в некоторых случаях также распространяется Node.js-вариант малвари.

Это первое публичное задокументированное применение тактики FileFix в реальных атаках.

Доставка Interlock RAT

После выполнения RAT собирает информацию о системе, используя команды PowerShell для сбора и передачи данных своим операторам. Также вредонос проверяет, какими привилегиями обладает вошедший в систему пользователь.

RAT закрепляется в системе и ожидает дальнейших команд для выполнения. При этом в отчете специалистов отмечается, что злоумышленники явно работают с малварью вручную, проверяя резервные копии, осуществляя навигацию по локальным каталогам и проверку контроллеров домена. Исследователи отмечают, что в некоторых случаях атакующие использовали RDP для бокового перемещения во взломанных средах.

В качестве управляющего сервера вредонос эксплуатирует trycloudflare.com, злоупотребляя легитимной службой Cloudflare Tunnel, чтобы скрыть свою активность.

В The DFIR Rep полагают, что эта кампания носит оппортунистический характер.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Вымогательская хак-группа Interlock распространяет через взломанные сайты троян удаленного доступа (RAT). Хакеры используют для доставки малвари атаки FileFix. Атаки ClickFix построены на социальной инженерии. В последнее время различные вариации этих атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют скопировать в буфер и выполнить вредоносные команды PowerShell. То есть вручную заразить свою систему вредоносным ПО. Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением контента в браузере или требуют, чтобы пользователь решил фальшивую CAPTCHA. Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ИБ-специалисты уже предупреждали и о кампаниях, направленных на пользователей macOS и Linux. По данным ESET, использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период со второй половины 2024 года по первую половину 2025 года. Техника FileFix, недавно описанная ИБ-экспертом mr.d0x, представляет собой вариант атаки ClickFix, но использует не командную строку, а более привычный для пользователей интерфейс «Проводника» в Windows (File Explorer). Так, на вредоносной странице пользователю сообщают, что ему предоставлен общий доступ к некому файлу. Чтобы найти этот файл, путь якобы нужно скопировать и вставить в «Проводник». «Фишинговая страница может содержать кнопку “Открыть Проводник”, которая при нажатии запустит File Explorer (используя функциональность для загрузки файлов) и скопирует PowerShell-команду в буфер обмена», — объяснял mr.d0x. То есть после вставки пути к файлу и нажатия Enter произойдет выполнение вредоносной PowerShell-команды. Еще в начале мая 2025 года специалисты The DFIR Report и Proofpoint предупреждали, что Interlock RAT распространяется посредством KongTuke (или LandUpdate808) — сложной системы распределения трафика (TDS), что приводит к заражению вредоносным ПО через многоступенчатый процесс, включающий использование ClickFix и фальшивых CAPTCHA. Как стало известно теперь, в начале июня хакеры переключились на использование FileFix и начали распространять PHP-вариант Interlock RAT. Специалисты The DFIR Report сообщают, что в некоторых случаях также распространяется Node.js-вариант малвари. Это первое публичное задокументированное применение тактики FileFix в реальных атаках. Доставка Interlock RAT После выполнения RAT собирает информацию о системе, используя команды PowerShell для сбора и передачи данных своим операторам. Также вредонос проверяет, какими привилегиями обладает вошедший в систему пользователь. RAT закрепляется в системе и ожидает дальнейших команд для выполнения. При этом в отчете специалистов отмечается, что злоумышленники явно работают с малварью вручную, проверяя резервные копии, осуществляя навигацию по локальным каталогам и проверку контроллеров домена. Исследователи отмечают, что в некоторых случаях атакующие использовали RDP для бокового перемещения во взломанных средах. В качестве управляющего сервера вредонос эксплуатирует trycloudflare.com, злоупотребляя легитимной службой Cloudflare Tunnel, чтобы скрыть свою активность. В The DFIR Rep полагают, что эта кампания носит оппортунистический характер.

запостил(а)

Тамара

Вернуться назад

Смотрите также

Фальшивая CAPTCHA в Telegram вынуждает запускать вредоносные PowerShell-скрипты - «Новости»

Специалисты FACCT изучили новый троян удаленного доступа RADX RAT - «Новости»

11 функциональных тайм-трекеров: какой выбрать - «Бизнес»

Бэкдор для macOS HZ Rat нацелен на китайских пользователей DingTalk и WeChat - «Новости»

А что там на главной? )))

Комментарии )))

« Июль 2025 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31