Microsoft обращается к каждому: заблокируйте «Выполнить» и PowerShell своим сотрудникам

Microsoft предупредила о росте масштабных фишинговых атак ClickFix и рекомендовала системным администраторам ограничить использование инструментов командной строки и отключить окно «Выполнить» в Windows. Этот подход связан с активным распространением схем, в которых злоумышленники заставляют пользователей самостоятельно запускать вредоносные команды, маскируя процесс под проверку CAPTCHA, подтверждение личности или решение мелких «технических проблем».

Метод ClickFix стал активно применяться с прошлого года. Жертве показывается страница с простыми инструкциями, где предлагается скопировать и выполнить код в Windows Run, PowerShell или Windows Terminal. После запуска команда загружает трояны, инфостилеры или загрузчики, открывающие системе полный доступ. Microsoft отмечает, что такие кампании ежедневно нацелены на тысячи устройств по всему миру, а ежемесячно заражаются десятки тысяч пользователей. При этом атаки проходят даже при включённых средствах защиты, включая решения EDR, что делает метод особенно опасным.

По данным Microsoft Threat Intelligence, злоумышленники используют разнообразные сценарии доставки. Чаще всего они размещают ссылки на заражённые страницы через рекламу на сомнительных ресурсах, массовые рассылки, фишинговые письма и скомпрометированные сайты. Пользователь может столкнуться с атакой, например, при попытке запустить бесплатный фильм на пиратском портале: нажатие кнопки воспроизведения приводит к открытию поддельной страницы с инструкциями. Иногда применяются имитации системных ошибок, сообщений от Discord или других сервисов, якобы требующих подтверждения личности.

Главная цель атакующих — убедить жертву самостоятельно запустить вредоносный код. Чтобы скрыть активность, команды маскируются и шифруются, а загрузка компонентов происходит с разных серверов. С помощью ClickFix распространяются одни из наиболее опасных инструментов: LummaStealer, Xworm, AsyncRAT, NetSupport, SectopRAT, загрузчики Latrodectus и MintsLoader, а также руткиты вроде r77. Многие угрозы работают в памяти без создания файлов, внедряя вредоносный код в легитимные процессы Windows, включая msbuild.exe, regasm.exe и powershell.exe.

Microsoft зафиксировала активные продажи готовых ClickFix-билдеров на теневых форумах. Стоимость таких комплектов колеблется от 200 до 1 500 долларов в месяц, а их авторы обещают обход антивирусов и возможность закрепления в системе. Специалисты предупреждают, что из-за зависимости метода от действий пользователя такие атаки способны обходить традиционные механизмы защиты.

В опубликованных рекомендациях Microsoft советует системным администраторам максимально ограничить работу инструментов командной строки для неподготовленных пользователей. Среди мер — отключение окна «Выполнить», запрет запуска PowerShell и других исполняемых файлов через него, ограничение доступа к Windows Terminal и настройка предупреждений при вставке многострочного кода.

Также предлагается использовать групповые политики для усиления конфигураций Windows, устанавливать строгие правила выполнения скриптов и применять контроль приложений, чтобы блокировать запуск встроенных системных утилит из ненадёжных источников.

Компания подчёркивает важность повышения цифровой грамотности и обучения сотрудников методам социальной инженерии, чтобы снизить риск случайного запуска вредоносных команд. В отчёте дополнительно публикуются IP-адреса, домены и другие индикаторы компрометации, которые могут помочь администраторам вовремя обнаруживать подозрительную активность в сети.