Невидимая угроза: как вредоносный код прячется в картинках и запускается одной командой

В первых числах июня эксперты BI.ZONE обнаружили серию атак, нацеленных примерно на 30 российских организаций. В этих атаках была использована техника ClickFix, до этого наблюдавшаяся только за пределами России. Преступники отправляли обманные электронные письма, маскируясь под представителей силовых структур. В письмах содержался PDF-документ с намеренно размытым содержимым. Чтобы якобы «разблокировать» документ, пользователей просили пройти CAPTCHA, однако клик по ней незаметно копировал вредоносный PowerShell-скрипт в буфер обмена.

Затем жертве предлагалось нажать комбинацию клавиш Win + R, вставить скопированный скрипт и нажать Enter. Это приводило к активации вредоносного кода, который скачивал с удаленного сервера различное программное обеспечение, включая загрузчик Octowave Loader. Этот загрузчик скрывал вредоносные компоненты внутри PNG-изображений, используя методы стеганографии. Среди этих компонентов был обнаружен ранее неизвестный троян удаленного доступа (RAT), предположительно предназначенный для шпионажа.

Этот RAT предоставлял возможность удаленного контроля над зараженными системами. Специалисты советуют применять фильтры электронной почты и решения класса EDR для своевременного обнаружения и предотвращения подобных кибератак.