Атака на браузер: новый трюк злоумышленников

Специалисты Microsoft зафиксировали новый вариант кампании ClickFix, получивший название CrashFix. В этом методе киберпреступники разрабатывают сценарий, основываясь на сбоях в работе браузера и применении социальной инженерии. Жертва, ищущая блокировщик рекламы, натыкается на мошенническое объявление, которое ведет в Chrome Web Store, где предлагается установить расширение, маскирующееся под uBlock Origin Lite.

Однако после установки оно не активизируется сразу, а запускает вредоносные процессы с задержкой. Это затрудняет выявление связи между расширением и проблемами с браузером. Расширение вызывает сбой, создавая бесконечный цикл ошибок, и показывает фальшивое предупреждение CrashFix, побуждая пользователя следовать инструкциям по «восстановлению» работы.

На этом этапе злоумышленники используют штатную утилиту Windows finger.exe, переименовывают её и подключаются к удаленной инфраструктуре, получая обфусцированные команды PowerShell. В зависимости от окружения, исследуются запущенные инструменты и определяются настройки компьютера. В случае обнаружения доменной машины, активируется Python-троян ModeloRAT, а злоумышленники создают запланированную задачу, которая запускает вредоносный код каждые 5 минут. Microsoft рекомендует усиливать защиту и ограничивать доступ к встроенным утилитам.

Помогите проекту, поделитесь с друзьями ;)

Добавить комментарий