Австралийский центр кибербезопасности ACSC предупредил организации о кампании ClickFix: злоумышленники заражают компьютеры стилером Vidar через фальшивые проверки браузера. Пользователю показывают поддельную CAPTCHA и убеждают вручную запустить команду PowerShell — после этого вредоносная программа крадёт пароли, cookie и другие данные.

Атаки заметили на инфраструктуру и организации в Австралии, но сама схема давно вышла за пределы одной страны. Для российских пользователей риск тоже понятен: такие страницы выглядят как обычная проверка «я не робот» и не требуют от жертвы скачивать подозрительный файл.

Как работает ClickFix и почему люди попадаются

ClickFix (буквально — «нажми, чтобы исправить») — приём социальной инженерии, где сайт убеждает человека «починить» несуществующую проблему. Чаще всего это поддельная CAPTCHA, фальшивая проверка Cloudflare или сообщение о сбое браузера.

Сценарий выглядит буднично. Пользователь заходит на сайт, видит окно проверки и получает инструкцию: скопировать текст, открыть системное окно Windows и вставить команду. В реальности команда запускает PowerShell и тянет вредоносный код.

Опасность в том, что антивирусные фильтры хуже ловят действия, которые пользователь выполняет сам. Сайт не всегда сразу загружает исполняемый файл. Он заставляет человека стать «курьером» для вредоносной команды.

Такие приманки часто маскируют под бытовые проблемы: не открывается видео, сломалась авторизация, нужна проверка браузера, «discord не запускается на windows 10» или «как ускорить ютуб windows». Чем ближе текст к реальной проблеме пользователя, тем выше шанс, что он выполнит инструкцию не задумываясь.

Что известно о кампании с Vidar Stealer

По данным ACSC, злоумышленники используют скомпрометированные сайты на WordPress. Посетителей перенаправляют на страницы с вредоносной нагрузкой, где показывают поддельную проверку Cloudflare или CAPTCHA.

Дальше жертву просят скопировать и выполнить команду PowerShell. Именно она приводит к заражению Vidar Stealer — семейством программ для кражи информации. Такие программы называют инфостилерами (от англ. information stealer — похититель информации).

Vidar появился в 2018 году и стал популярным у киберпреступников из-за низкой цены, простого развёртывания и широкого набора функций. Он собирает сохранённые пароли браузера, cookie, данные автозаполнения, сведения о системе и файлы криптокошельков.

После запуска Vidar удаляет свой исполняемый файл и работает из памяти. Это снижает число следов на диске и усложняет расследование инцидента. Адрес командного сервера он получает через так называемые dead-drop URL — ссылки-закладки в публичных сервисах, включая Telegram-ботов и профили Steam.

Почему поддельная CAPTCHA стала удобной приманкой

CAPTCHA давно стала частью повседневного интернета. Люди привыкли нажимать галочки, выбирать картинки с автобусами и подтверждать, что они не роботы. Злоумышленники используют эту привычку: знакомый внешний вид снижает настороженность.

Но настоящая CAPTCHA не просит открывать PowerShell, командную строку или окно «Выполнить». Она не требует копировать набор символов в системную утилиту Windows. Если сайт просит сделать это для «проверки браузера», перед вами почти наверняка атака.

Особенно опасны инструкции, где фигурируют сочетания клавиш Win+R, Ctrl+V и Enter. Для неподготовленного пользователя это выглядит как техническая процедура. Для атакующего — быстрый способ запустить код без вложения в письме и без очевидной загрузки файла.

Похожая логика встречается и в других схемах: преступники не всегда взламывают систему напрямую, иногда они убеждают владельца открыть дверь. Поэтому базовая цифровая гигиена важна не меньше антивируса. Мы уже разбирали, как путаница и доверие к знакомым названиям бьют по безопасности, в материале о том, как смена имени CCP Games создаёт риски для пользователей.

Кому грозит атака

В первую очередь — сотрудникам организаций, которые часто работают с внешними сайтами: бухгалтерии, закупкам, поддержке, маркетингу, администраторам. Один запуск команды под учётной записью сотрудника может открыть доступ к почте, внутренним сервисам и сохранённым паролям.

Домашние пользователи тоже в зоне риска. Vidar крадёт данные из браузера, а многие хранят там пароли от почты, банков, маркетплейсов и личных кабинетов. Cookie позволяют в некоторых случаях попасть в аккаунт без ввода пароля, если сервис не запросит повторную проверку.

Отдельная проблема — рабочие ноутбуки в публичных сетях. В кафе, отеле или коворкинге человек чаще спешит и легче принимает странное окно за техническую неполадку. Для снижения рисков при работе вне офиса пригодится сервис безопасного интернет-соединения, который помогает защитить соединение и приватность данных в публичных сетях.

Пользователям Windows стоит следить и за обновлениями самой системы. Новые функции удобства не отменяют базовых настроек безопасности; подробнее об этом мы писали в статье о новых бета-сборках Windows 11 и важных настройках защиты.

Что делать администраторам сайтов и ИТ-службам

ACSC рекомендует организациям ограничить запуск PowerShell там, где он не нужен для работы, и настроить список разрешённых приложений. Это не панацея, но такой барьер мешает случайному запуску вредоносной команды.

Администраторам WordPress-сайтов важно быстро ставить обновления тем и плагинов. Неиспользуемые расширения лучше удалить, а не просто отключить: забытый плагин часто становится входной точкой для взлома.

ИТ-службам стоит искать признаки ClickFix-атак в журналах: необычные запуски PowerShell из пользовательских сеансов, обращения к подозрительным доменам, резкие попытки доступа к хранилищам браузера. ACSC выпустил индикаторы компрометации для этой кампании, их можно загрузить из бюллетеня ведомства через официальные каналы.

Практический вывод: как не запустить Vidar своими руками

  • Не выполняйте команды из браузера, даже если сайт называет это CAPTCHA, проверкой Cloudflare или «исправлением ошибки».
  • Насторожитесь, если инструкция просит нажать Win+R, открыть PowerShell или вставить текст в системное окно Windows.
  • Закройте страницу и откройте нужный сайт заново из закладок или вручную набранного адреса.
  • Не храните критически важные пароли только в браузере; используйте менеджер паролей и включайте двухфакторную проверку.
  • Обновите Windows, браузер и защитное ПО, затем проверьте устройство, если недавно выполняли подозрительную команду.
  • Администраторам WordPress: обновите темы и плагины, удалите лишние расширения, проверьте перенаправления и новые админ-аккаунты.
  • В компаниях ограничьте PowerShell для обычных пользователей и настройте список разрешённых приложений.
  • Если заражение возможно, смените пароли с чистого устройства и завершите активные сеансы в важных сервисах.
Поделиться: