новостиперсональные данные

Фейковая CAPTCHA от «силовиков» для кибератак

Российские компании стали новыми целями для кибератак, использующих фейковую CAPTCHA. В мае — начале июня около 30 компаний подверглись атакам с применением техники ClickFix, которая заставляет пользователей самостоятельно запускать вредоносные скрипты. Ранее такие атаки были характерны только для зарубежных организаций.

В мае 2025 года специалисты BI.ZONE Threat Intelligence зафиксировали две кампании, в ходе которых злоумышленники использовали метод ClickFix против российских организаций. Атаки начинались с отправки фишинговых писем, маскирующихся под силовые ведомства. В письме содержался заблюренный PDF-файл, который пользователь не мог прочитать. Чтобы получить доступ к документу, ему предлагалось подтвердить, что он не робот.

Однако нажатие на кнопку «Я не робот» перенаправляло жертву на сайт злоумышленников, где она сталкивалась с фейковой CAPTCHA. Клик по кнопке незаметно для пользователя копировал в буфер обмена PowerShell-сценарий. Затем жертву просили выполнить ряд команд на своем устройстве, якобы для того, чтобы открыть документ. На самом деле эти команды запускали вредоносный код.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, объяснил, что техника ClickFix получила свое название благодаря тому, что злоумышленники убеждают пользователя выполнить вредоносную команду самостоятельно. «По сути, жертву убеждают исправить какую-либо техническую проблему, — отметил он. — Технику ClickFix атакующие используют с весны 2024 года, но против компаний из России и других стран СНГ она применяется впервые».

Скрипт, запущенный пользователем, скачивал с сервера злоумышленников изображение в формате PNG, из которого извлекался вредоносный загрузчик Octowave Loader. Этот загрузчик включал в себя несколько легитимных файлов, среди которых прятались вредоносные компоненты. Один из них содержал скрытый исполняемый код, который в конечном счете запускал троян удаленного доступа (RAT).

Обнаруженный RAT отправлял злоумышленникам базовую информацию о скомпрометированной системе, включая имя пользователя, его права и версию операционной системы. После этого он предоставлял возможность атакующим выполнять на устройстве жертвы различные команды и запускать процессы.

Злоумышленники использовали в качестве носителя вредоносного кода PNG-файлы с мемами политического содержания. Однако жертва не видела содержимое картинки, так как файл скачивался незаметно для пользователя.

Использование злоумышленниками RAT собственной разработки может указывать на то, что целью атак был шпионаж. Это косвенно подтверждается тем, что фишинговые письма маскировались под коммуникацию от силовых ведомств, что характерно для шпионских кластеров активности.

Для защиты от таких атак специалисты BI.ZONE рекомендуют использовать специализированные сервисы защиты почты, такие как BI.ZONE Mail Security, а также решения класса endpoint detection and response (EDR), например BI.ZONE EDR. Эти инструменты помогают отследить атаку на ранней стадии и оперативно отреагировать на угрозу.

Злоумышленники постоянно меняют подходы и инструменты, чтобы обойти средства защиты. Поэтому важно использовать решения киберразведки, такие как BI.ZONE Threat Intelligence, которые аккумулируют актуальную информацию о ландшафте угроз и помогают проактивно защитить компанию.

Фото: Adobe Stock