В мае–июне 2025 года 30 российских компаний стали жертвами новой волны кибератак, в которых использовалась техника ClickFix и фейковая CAPTCHA. Эти атаки стали тревожным сигналом: ранее подобные методы применялись только за рубежом. Теперь злоумышленники маскируются под государственные структуры и заставляют пользователей запускать вредоносный код вручную. Эта форма социальной инженерии обходит антивирусы и полагается на доверчивость человека.

Как работает атака с использованием ClickFix

🧩 Этап 1: Поддельные PDF-документы

Злоумышленники рассылали сотрудникам компаний PDF-файлы с размытым текстом. В письмах утверждалось, что документ содержит важную информацию от силовых ведомств.

🧩 Этап 2: Фейковая CAPTCHA

Чтобы "разблокировать" текст, пользователь должен был нажать кнопку «Я не робот».
Эта кнопка вела на внешний сайт, где открывалось новое окно с ложной CAPTCHA.
Выглядело реалистично — как Google reCAPTCHA.

🧩 Этап 3: Социальная инженерия

После клика в буфер обмена пользователя незаметно копировался PowerShell‑скрипт. Затем экран предлагал пошагово:

  • Нажать Win + R
  • Вставить скрипт (Ctrl + V)
  • Нажать Enter

Многие пользователи выполняли инструкции, не подозревая о последствиях.

Что делает вредоносный скрипт

🎯 Скрытая загрузка Octowave Loader

После запуска скрипт скачивал PNG-изображение с удалённого сервера.
Однако вместо картинки в нём содержался вредоносный код, спрятанный с помощью стеганографии — технологии сокрытия данных в изображениях.

Этот код загружал Octowave Loader — загрузчик, маскирующий вредонос в легитимных файлах.

🐍 RAT нового поколения

Один из файлов содержал неизвестный ранее троян удаленного доступа (RAT).
Он собирал системную информацию и позволял выполнять команды на компьютере жертвы.

Интересно, что PNG-файлы маскировались под политические мемы — это позволяло им незаметно проходить фильтры и маскировать шпионскую активность.

Почему это опасно

  • Обход защитных систем. Использование социальной инженерии позволяет атаке миновать антивирусы.
  • Минимальная автоматизация. Пользователь сам запускает код, делая атаку эффективной.
  • Шпионские цели. Использование уникального RAT и маскировка под ведомства говорит о целенаправленном шпионаже.

Как защититься

🔐 Рекомендации для компаний

  1. Обучение сотрудников
    Проводите регулярные тренинги по кибербезопасности и распознаванию фишинга.
  2. Отключение буфера обмена в браузерах
    Блокируйте скрипты, взаимодействующие с буфером обмена (возможно с помощью CSP или расширений).
  3. Ограничения на выполнение PowerShell-скриптов
    Настройте политику исполнения скриптов в Windows (Set-ExecutionPolicy) на Restricted.
  4. E-mail-фильтрация и DLP
    Используйте решения для анализа вложений и предотвращения утечек данных.
  5. Мониторинг и логирование событий
    Внедрите SIEM-системы и настраивайте алерты на аномальное поведение.

ClickFix — это не просто технический эксплойт, а изощрённая схема социальной инженерии. Атаки, использующие фейковую CAPTCHA, демонстрируют, насколько уязвимым остаётся человеческий фактор в вопросах ИБ.

📌 Будьте внимательны, обучайте сотрудников и не доверяйте незнакомым "службам", даже если письмо выглядит официально.