Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нов ClickFix напад користи nslookup за добивање PowerShell payload преку DNS

Објавено: 16.02.2026

Напаѓачите сега злоупотребуваат DNS прашања како дел од ClickFix социјално-инженериски напади за испорака на малвер, што претставува прва позната употреба на DNS како канал во овие кампањи.

ClickFix нападите обично ги лажат корисниците да рачно извршуваат злонамерни команди, под изговор дека се исправуваат грешки, се инсталираат ажурирања или се овозможува функционалност.

Меѓутоа, новата варијанта користи нова техника во која DNS серверот под контрола на напаѓачот испорачува второстепен payload преку DNS упати.

DNS упатите доставуваат злонамерен PowerShell скрипти

Во нова ClickFix кампања забележана од Microsoft, жртвите се упатуваат да ја извршат командата nslookup која прашува DNS сервер под контрола на напаѓачот наместо стандардниот DNS сервер на системот.

Командата враќа резултат кој содржи злонамерен PowerShell скрипт, кој потоа се извршува на уредот за да инсталира малвер.

„Истражувачите на Microsoft Defender забележаа дека напаѓачите користат уште еден метод за избегнување на детекција со ClickFix техниката: ги молат целите да извршат команда која врши прилагоден DNS lookup и го анализира одговорот Name: за да ја добијат следната фаза на payload за извршување,“ се вели во објава на X од Microsoft Threat Intelligence.

Иако не е јасно што е мамката со која се лажат корисниците да ја извршат командата, Microsoft вели дека ClickFix нападот ги упатува корисниците да ја извршат командата во дијалогот Windows Run.

Оваа команда ќе изврши DNS lookup за хостот „example.com“ на DNS серверот на напаѓачот со адреса 84[.]21.189[.]20, а потоа ќе го изврши резултатот преку Windows command interpreter (cmd.exe).

Одговорот на DNS враќа поле „NAME:“ кое содржи втор PowerShell payload, кој се извршува на уредот.

DNS одговор на прашањето кој содржи втората PowerShell команда за извршување

Иако овој сервер веќе не е достапен, Microsoft вели дека второстепената PowerShell команда симнувала дополнителен малвер од инфраструктура под контрола на напаѓачот.

Овој напад на крајот симнува ZIP архив кој содржи Python runtime извршлив файл и злонамерни скрипти кои вршат разузнавање на заразениот уред и домен.

Потоа нападот воспоставува перзистенција со креирање на %APPDATA%\WPy64-31401\python\script.vbs и пречка %STARTUP%\MonitoringService.lnk за да го стартува VBScript фајлот при стартување на системот.

Крајниот payload е remote access тројанец познат како ModeloRAT, кој им овозможува на напаѓачите да контролираат компромитирани системи дистанцирано.

За разлика од вообичаените ClickFix напади, кои обично симнуваат payloads преку HTTP, оваа техника користи DNS како канал за комуникација и поставување.

Со користење на DNS одговори за доставување злонамерни PowerShell скрипти, напаѓачите можат динамично да ги менуваат payload-ите додека се прикриваат во нормален DNS сообраќај.

ClickFix нападите брзо се развиваат

ClickFix нападите се брзо развиваат во последната година, со напаѓачи кои експериментираат со нови тактики за испорака и различни типови на payload кои таргетираат широк спектар на оперативни системи.

Претходните ClickFix кампањи се потпираа на убедување на корисниците да извршат PowerShell или shell команди директно на нивниот систем за да инсталираат малвер.

Во поновите кампањи, напаѓачите ја прошириле техниката надвор од традиционалната испорака на малвер преку веб.

На пример, еден од последните ClickFix напади наречен “ConsentFix” злоупотребува Azure CLI OAuth апликација за да присвои Microsoft сметки без лозинка и да заобиколи мултифакторска автентикација (MFA).

Со зголемената популарност на AI LLM модели за секојдневна употреба, напаѓачите почнале да користат заеднички страници од ChatGPT и Grok, како и Claude Artifact страници, за да промовираат лажни водичи за ClickFix напади.

BleepingComputer исто така денес извести за нов ClickFix напад промовиран преку коментари на Pastebin, кој ги измамил корисниците на криптовалути да извршат злонамерен JavaScript директно во прелистувачот додека ја посетувале крипто берзата, со цел да ги присвојат трансакциите.

Ова е една од првите ClickFix кампањи дизајнирани да извршуваат JavaScript во прелистувачот и да присвојуваат функционалност на веб апликации, наместо да инсталираат малвер.

Извори:

  • Bleeping Computer – New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS Bleeping Computer