Киберпреступники стали более активно применять метод ClickFix. Они маскируются под венчурных инвесторов для атаки на держателей цифровых валют. По данным Moonlock Lab, новая волна атак сочетает деловое взаимодействие, поддельные онлайн-сервисы и приемы социальной инженерии, которые нацелены на то, чтобы завоевать доверие жертвы.
Контакт с субъектом зачастую устанавливается через платформу LinkedIn. От имени якобы инвестиционной компании предлагается обсудить партнерство или финансирование проекта. После переписки собеседнику направляют ссылку на видеовстречу в Zoom или Google Meet. Однако переход ведет на фишинговую страницу, имитирующую интерфейс реального сервиса.
На сайте размещается поддельный элемент проверки Cloudflare с предложением подтвердить, что пользователь не робот. При нажатии автоматически копируется системный скрипт. Далее человеку предлагают открыть терминал и вставить «код доступа» для завершения проверки. Выполнение этой процедуры активирует вредоносное ПО, которое может предоставить злоумышленникам удаленный доступ к устройству пользователя.
Эксперты отмечают, что эффективность системы ClickFix основана на том, что финальный этап выполняет сама жертва. Вредоносный процесс запускается вручную, поэтому традиционные средства защиты зачастую тут бессильны. Отсутствие зараженных компонентов или эксплойтов затрудняет выявление атаки еще на ранней стадии.
В отчете также говорится о профиле в LinkedIn, в рамках которого неизвестный злоумышленник представлялся топ-менеджером инвестиционной структуры. Пользователи сообщали о подозрительной активности, связанной с этим аккаунтом. Аналитики подчеркивают, что организаторы кампании оперативно меняют названия учреждений и личности. Это в свою очередь сильно усложняет ход расследования.
Источник: cryptonews.net