Duty-Free.cc
Новости

Нажали «Я не робот» — и заразили свой компьютер: как пользователи сами запускают вредоносное ПО

Duty News 0 2 часа назад

Киберпреступники нашли новый способ упростить себе жизнь — теперь жертвы выполняют заражение собственными руками.

Исследователи зафиксировали новую вредоносную кампанию, в которой процесс компрометации маскируется под привычную проверку CAPTCHA. Атакующие используют доверенные компоненты Windows и подписанные скрипты Microsoft, из-за чего заражение выглядит как обычное взаимодействие с системой. В результате пользователь самостоятельно запускает цепочку, которая в финале приводит к установке шпионского ПО Amatera.

Сценарий начинается с фальшивой страницы проверки «на человека». Жертве предлагают выполнить простое действие — вставить готовую команду в окно «Выполнить» Windows и подтвердить её запуск. Этот приём известен как ClickFix: пользователя убеждают вручную выполнять команды PowerShell, не вызывая подозрений.

Введённая команда запускает штатный корпоративный скрипт Windows — SyncAppvPublishingServer.vbs, относящийся к Microsoft Application Virtualization. Обычно он используется для администрирования виртуализированных приложений, однако в данной атаке служит прокси для выполнения PowerShell-кода. Запуск происходит через доверенный процесс wscript.exe, что позволяет замаскировать вредоносные действия под легитимную системную активность.

На начальном этапе вредонос проверяет, что команды вводит реальный пользователь: анализируется порядок действий, состояние буфера обмена и общее поведение среды. Такой механизм помогает выявлять автоматизированные песочницы. Если обнаруживаются признаки анализа, выполнение намеренно зависает, расходуя ресурсы защитных систем.

Далее программа извлекает конфигурацию из публичного календаря Google — параметры атаки спрятаны в виде закодированных данных внутри одного из событий. Затем с помощью WMI создаётся скрытый 32-битный процесс PowerShell, в который полезная нагрузка загружается и расшифровывается прямо в оперативной памяти, без создания файлов на диске.

Следующий этап основан на стеганографии. Вредоносный код скрывается внутри PNG-изображений, размещённых на открытых CDN-площадках. Картинки загружаются через стандартные сетевые API Windows, после чего данные извлекаются методом LSB-стеганографии, расшифровываются, распаковываются с помощью GZip и сразу исполняются в памяти.

На финальной стадии активируется нативный шелл-код, который загружает инфостилер Amatera. После запуска он соединяется с заранее заданным IP-адресом, получает конфигурацию и ожидает дополнительные модули, передаваемые по HTTP.

По данным BlackPoint Cyber, Amatera относится к классу инфостилеров и предназначен для кражи данных браузеров и учётных записей. Аналитики отмечают, что вредонос основан на кодовой базе ACR-стилера, активно дорабатывается и распространяется по модели malware-as-a-service. В Proofpoint подчёркивают, что каждая новая версия становится сложнее и лучше защищена от обнаружения.

Эксперты также обращают внимание, что операторы Amatera уже применяли метод ClickFix ранее, однако это первый задокументированный случай, когда в подобной схеме используется подписанный App-V-скрипт Microsoft, что существенно усложняет детектирование атаки.

Для снижения рисков специалисты советуют ограничить доступ к окну «Выполнить» с помощью групповых политик, удалить компоненты App-V при отсутствии необходимости, включить расширенное логирование PowerShell и внимательно анализировать сетевую активность — особенно несоответствия между IP-адресами, HTTP-заголовками и TLS SNI.