Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нови ClickFix напади злоупотребуваат Windows App-V скрипти за дистрибуција на малициозен софтвер

Објавено: 27.01.2026

Нова малициозна кампања го комбинира методот ClickFix со лажен CAPTCHA и потпишана Microsoft Application Virtualization (App-V) скрипта, со цел на крај да го испорача инфостилер малициозниот софтвер Amatera.

Microsoft App-V скриптата функционира како „living-off-the-land“ бинарна датотека, која ја посредува извршувањето на PowerShell преку доверлива Microsoft компонента, со што се прикрива малициозната активност.

Microsoft Application Virtualization е корпоративна Windows функционалност што овозможува апликациите да бидат спакувани и извршувани во изолирани виртуелни околини, без реално да се инсталираат на системот. Иако App-V скриптите и претходно биле користени за заобиколување на безбедносни решенија, ова е првпат ваков тип датотека да биде забележан во ClickFix напади кои испорачуваат малициозен софтвер за кражба на информации.

Според BlackPoint Cyber, компанија која обезбедува услуги за лов на закани, детекција и одговор, нападот започнува со лажна CAPTCHA проверка за потврда дека корисникот е човек, која ја упатува жртвата рачно да вметне и изврши команда преку Windows Run дијалогот.

Страницата ClickFix

Вметнатата команда ја злоупотребува легитимната App‑V скрипта SyncAppvPublishingServer.vbs, која вообичаено се користи за објавување и управување со виртуелизирани корпоративни апликации.

Скриптата се извршува со користење на доверливиот бинарен фајл wscript.exe и стартува PowerShell.

Во почетната фаза, командата проверува дали корисникот ја извршил рачно, дали редоследот на извршување се одвивал како што се очекува и дали содржината на clipboard‑от останала непроменета, со цел да се осигури дека малициозниот вчитувач нема да се активира на sandbox машини.

Истражувачите од BlackPoint Cyber наведуваат дека, доколку се детектира анализа или тест‑околина, извршувањето тивко се блокира со бесконечни чекања, веројатно за да се трошат ресурсите на автоматизираните системи за анализа.

Кога условите се исполнети, малициозниот софтвер презема конфигурациски податоци од јавна Google Calendar датотека, која содржи base64‑кодираните конфигурациски вредности во рамки на конкретен настан.

Во подоцнежните фази од нападот, преку Windows Management Instrumentation (WMI) се стартува скриен 32‑битен PowerShell процес, а повеќе вградени payload‑и се декриптираат и се вчитуваат директно во меморија.

Потоа, синџирот на инфекција преминува кон прикривање на payload‑ите со користење на стеганографија, при што енкриптиран PowerShell payload е вграден во PNG слики хостирани на јавни CDN‑и и динамички се презема преку резолвираните WinINet API‑ја.

Стеганографска слика (лево) и логика за извлекување на payload‑от (десно)

Податоците од payload‑от се извлекуваат преку LSB стеганографија, се декриптираат, се декомпресираат со GZip и целосно се извршуваат во меморија. Крајната PowerShell фаза го декриптира и стартува нативниот shellcode, кој го мапира и извршува инфостилерот Amatera.

Преглед на синџирот на инфекција

Откако ќе се активира на системот, малициозниот софтвер се поврзува со однапред вградена (hardcoded) IP адреса за да преземе мапирања на endpoint‑и и да чека дополнителни бинарни payload‑и испорачани преку HTTP POST барања.

BlackPoint Cyber го класифицира малициозниот софтвер Amatera како стандарден инфостилер што може да собира податоци од прелистувачи и акредитиви од заразените системи, но не навлегува во многу детали околу неговите можности за кражба на податоци.

Врз основа на преклопување во кодот, Amatera е базиран на инфостилерот ACR и е во активен развој, достапен како malware‑as‑a‑service (MaaS). Истражувачите од Proofpoint наведуваат во извештај од минатата година дека Amatera станува сè пософистициран од една до друга верзија.

Операторите на Amatera и претходно го дистрибуирале преку методот ClickFix, при што корисниците биле измамени директно да извршат PowerShell команда.

За одбрана од вакви напади, истражувачите предлагаат ограничување на пристапот до Windows Run дијалогот преку Group Policy, отстранување на App‑V компонентите кога не се потребни, овозможување на PowerShell логирање и следење на излезните конекции за несовпаѓања меѓу HTTP Host header‑от или TLS SNI и дестинациската IP адреса.

Извори:

  • Bleeping Computer – New ClickFix attacks abuse Windows App-V scripts to push malware Bleeping Computer