Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Хотели заблокировать рекламу, а заблокировали компьютер. Microsoft объясняет, что не так с «новым» uBlock

leer en español

Microsoft Microsoft Defender ClickFix CrashFix ModeloRAT Chrome Web Store RAT
Хотели заблокировать рекламу, а заблокировали компьютер. Microsoft объясняет, что не так с «новым» uBlock
Microsoft Microsoft Defender ClickFix CrashFix ModeloRAT Chrome Web Store RAT

Ловушка срабатывает не сразу, и в этом главный трюк.

image

Microsoft зафиксировала новую вариацию кампании ClickFix, в которой злоумышленники делают ставку на раздражающий сбой браузера и последующую социальную инженерию. Приём получил название CrashFix и, по оценке команды Microsoft Defender, повышает шансы на запуск вредоносных команд без классических эксплуатаций уязвимостей.

Сценарий начинается с поиска блокировщика рекламы. Жертва натыкается на вредоносное объявление, которое ведёт в Chrome Web Store, создавая ощущение легитимности. Там предлагается расширение, маскирующееся под uBlock Origin Lite. После установки оно не проявляет себя сразу, а запускает отложенную нагрузку, чтобы связь между расширением и проблемами была менее очевидной.

Дальше расширение намеренно выводит браузер из строя, создавая бесконечный цикл, а затем показывает поддельное предупреждение CrashFix, подталкивающее к «восстановлению» работы. На этом этапе пользователю предлагают выполнить команды в системном диалоге Windows. Особенность новой цепочки в том, что атакующие злоупотребляют штатной утилитой Windows finger.exe, копируют её во временную папку и переименовывают, чтобы затруднить анализ. Переименованный файл подключается к удалённой инфраструктуре и получает обфусцированные команды PowerShell, которые загружают следующие компоненты.

Один из этапов проверяет среду, ищет запущенные инструменты анализа и определяет, подключён ли компьютер к домену. При обнаружении доменной машины цепочка разворачивает переносимую сборку WinPython, а затем запускает Python-троян удалённого доступа, который в Microsoft обозначили как ModeloRAT. Для скрытного выполнения применяется pythonw.exe, а закрепление достигается через автозапуск в реестре. В дополнительных цепочках встречалась загрузка Python-компонентов через Dropbox, а также создание запланированной задачи с именем SoftwareProtection, которая регулярно запускает вредоносный код каждые 5 минут.

Microsoft рекомендует усиливать защиту на уровне поведения и снижать возможности для злоупотребления встроенными утилитами. Среди мер называются облачная защита антивируса и режим блокировки для EDR, фильтрация исходящего трафика и ограничение активности редко используемых инструментов вроде finger.exe, включение веб-защиты и сетевой защиты, жёсткое применение MFA, а также запрет хранения рабочих паролей в браузерах и отключение синхронизации паролей на управляемых устройствах. В подготовке отчёта участвовали Саи Чакри Кандалай и Каустубх Мангалведхекар.