На прошлой неделе опубликовано сразу два новых исследования об атаках типа ClickFix, в которых пользователя так или иначе мотивируют самостоятельно выполнять вредоносный код в командной строке. Команда Microsoft Threat Intelligence чуть более сложным, чем обычно, вариантом атаки, продемонстрированном на скриншоте ниже. Как правило, команда, которую злоумышленники заставляют запустить, содержит адрес, с которого загружается и выполняется вредоносный скрипт. Вероятно, для того чтобы усложнить детектирование атаки в корпоративном окружении и продлить жизнь вредоносной инфраструктуре, в этот простой сценарий вставлен еще один шаг: обращение к контролируемому DNS-серверу.
От имени пользователя происходит обращение к DNS-серверу c использованием утилиты nslookup, запрашиваются данные для домена example.com. Из полученных в ответ данных выделяется строка NAME:, которая и содержит вторую часть вредоносного скрипта. Он, в свою очередь, напрямую скачивает ZIP-архив с набором вредоносных программ. На финальной стадии один из VBS-скриптов прописывается в автозапуск и на компьютер жертвы устанавливается троянская программа ModeloRAT. Это далеко не самый изощренный вариант атаки ClickFix. Ранее та же Microsoft о нетривиальной тактике, предусматривающей намеренное выведение из строя браузера путем установки вредоносного расширения под видом адблокера.
В сообщении Microsoft не указано, как именно организаторы атаки мотивируют жертву выполнить вредоносный скрипт. Один крайне сложный и многоступенчатый пример такого социального инжиниринга во втором свежем исследовании.
На сервисах типа Pastebin злоумышленники активно распространяют текст, сообщающий о якобы существующей недоработке на сервисе обмена криптовалюты Swapzone.io. Это только «реклама». Далее пользователям предлагается перейти на другой ресурс, где содержится полноценная инструкция. А вот уже она содержит вредоносный сценарий на JavaScript, который пользователю предлагается вставить в окно браузера, где открыт сервис Swapzone. Жертвам обещаны высокие выплаты при обмене криптовалюты, но по факту вредоносный скрипт подменяет адреса кошельков Bitcoin и уводит средства на счета организаторов атаки. Таким образом, данная атака также представляет собой достаточно необычную вариацию ClickFix, в которой вредоносный код выполняется прямо в браузере и вмешивается в работу легитимного веб-сервиса.
Что еще произошлоСразу три новых публикации экспертов «Лаборатории Касперского»: Android-бэкдора Keenadu, встраивающегося в прошивки дешевых смартфонов; двух версий одного и того же стилера Arkanix, написанного на C++ и Python, а также типичных ошибок в конфигурации серверов 1С, которые привели к компрометации в реальных атаках.
Интересная в издании The Verge (и ее на Хабре): исследователь нашел способ управлять более чем семью тысячами роботов-пылесосов DJI Romo по всему миру из-за некорректной конфигурации сервера. Помимо роботов неограниченный доступ также был возможен к домашним электростанциям DJI Power. Примечательно, что первооткрыватель нашел проблему, пытаясь прикрутить к своему пылесосу контроллер от PlayStation 5 методом «вайб-кодинга», в смысле — управляя ИИ-помощником Claude Code.
Специалисты компании Eye Security уязвимость в популярном помощнике OpenClaw (ранее известном как Clawdbot и Moltbot). Уязвимость оказалась довольно хилая: в логи OpenClaw можно было вставлять произвольный текст, который затем (возможно!) мог быть прочитан самим ассистентом. В теории имелись условия для атаки типа prompt injection — когда вместе с легитимными инструкциями от пользователя нейросеть выполняет вредоносные. Но рабочего способа выполнения такого импланта исследователи не показали. Более того, когда они попытались заставить OpenClaw прочитать логи, тот корректно определил инъекцию и отказался выполнять инструкции! В любом случае уязвимость была закрыта, что не отменяет рекомендации использовать подобные ассистенты с осторожностью, особенно когда возникает желание открывать им доступ к чувствительным данным.
В браузере Google Chrome уязвимость типа use-after-free. Это первая в 2026 году проблема в Chrome, используемая в реальных атаках на момент обнаружения, то есть имеющая класс zero-day.
