BI.ZONE: Хакеры обманом вынуждают россиян взламывать собственные устройства

ClickFix дошёл до России: хакеры заставляют жертв запускать вирусы вручную

В мае–июне 2025 года как минимум 30 российских компаний стали жертвами атак с использованием техники ClickFix, сообщает BI.ZONE. Ранее этот метод применялся только за рубежом.

Суть схемы — убедить пользователя самостоятельно запустить вредоносный код под видом решения «технической проблемы». Жертвам рассылали PDF-файлы якобы от имени силовых структур, в которых текст был размытым. Чтобы его «прочитать», предлагалось подтвердить, что вы не робот.

Клик по фальшивой CAPTCHA приводил на сайт, где в буфер обмена незаметно копировался PowerShell-скрипт. Далее пользователя убеждали вставить и запустить его через Win + R — под предлогом получения доступа к документу.

Скрипт загружал PNG-изображение с сервера атакующих, из которого извлекался Octowave Loader — вредонос с легитимными и заражёнными компонентами. Один из них использовал стеганографию для скрытия кода нового RAT — трояна удалённого доступа.

Этот RAT собирал данные о системе и давал хакерам полный удалённый контроль. Изображения, маскирующие вредонос, не отображались — загрузка шла в фоне. Примечательно, что среди PNG-файлов встречались картинки с политическими мемами.

BI.ZONE считает атаку шпионской: её отличает сложная цепочка заражения, продуманная маскировка и использование непривычных сценариев социальной инженерии.