Поддельные уведомления о блокировке

Исследователи Acronis обнаружили новую масштабную фишинговую кампанию. Злоумышленники создали правдоподобные поддельные страницы, например, «Facebook Security», где пользователю сообщают о «подозрительной активности» и угрожают блокировкой. Чтобы «решить проблему», жертве предлагают выполнить ряд инструкций, которые на самом деле ведут к краже данных.

В отличие от старой схемы ClickFix, новая техника FileFix не заставляет вводить команды вручную. Вместо этого мошенники используют стандартную функцию браузера для загрузки файлов. Они предлагают скопировать «путь к документу», но в буфер обмена попадает вредоносная команда, скрытая пробелами. Дополнительная кнопка сразу открывает окно Проводника, делая процесс обмана максимально естественным.

Запущенный скрипт скачивает изображение со скрытой внутри полезной нагрузкой. После декодирования он запускает Go-загрузчик, который разворачивает в памяти похитителя данных StealC. Такой подход позволяет хакерам прятать вредоносный код в картинках, дробить логику атаки и почти не оставлять следов на диске жертвы.

Главная опасность метода — в использовании стандартных возможностей браузера, которые почти невозможно заблокировать без ущерба для работы. Однако у защитников есть контраргумент: запуск PowerShell из браузера более заметен для систем безопасности (EDR), чем из диалога «Выполнить».

Параллельно компания Doppel обнаружила схожую активность с поддельными страницами поддержки и CAPTCHA. В этих атаках также используется обман с буфером обмена для запуска PowerShell, который загружает сценарии, устанавливающие программы удаленного доступа (AnyDesk, TeamViewer) и воровские клипперы. Эксперты подчеркивают, что злоумышленники invested в инфраструктуру, делая каждый шаг атаки рутинным и незаметным, пока в фоне не начнется кража данных.