ClickFix, одноразовый метод социальной инженерии, который обманом заставляет жертв выполнять вредоносные рабочие процессы, замаскированные под исправления технических проблем в их системах, получил обновление для обеспечения постоянства. В единичном случае исследователи ReliaQuest обнаружили цепочку вторжения, использующую запланированные задачи, командно-контрольную (C2) инфраструктуру на базе PowerShell и уникальное злоупотребление десятилетним инструментом проксирования с открытым исходным кодом PySoxy.
Как отметили исследователи в посте в блоге, PySoxy предоставляет злоумышленникам зашифрованный доступ через прокси, не полагаясь на известные вредоносные программы или инструменты удаленного мониторинга и управления (RMM). Наблюдаемая цепочка атак установила первоначальный C2-канал на базе PowerShell, за которым последовал второй C2-путь через PySoxy.
Кампания была замечена в апреле. ReliaQuest сообщила, что это был первый случай, когда они увидели сочетание ClickFix и PySoxy в активных вторжениях.
PySoxy используется для обеспечения постоянства по двум каналам
Атака началась с приманки ClickFix, которая заставила жертву вручную вставить и выполнить вредоносную команду, замаскированную под исправление технической проблемы. После запуска команда инициировала многоэтапную цепочку заражения.
По данным ReliaQuest, поток выполнения обеспечил постоянство через запланированные задачи, провел разведку домена и открыл первоначальный C2-канал на базе PowerShell обратно к злоумышленникам. Затем цепочка развернула PyProxy для создания второго зашифрованного пути связи, который превращает зараженную конечную точку в прокси-ретранслятор.
«После локального размещения результатов разведки и их загрузки в отдельную инфраструктуру, контролируемую злоумышленниками, злоумышленник загрузил инструменты Python в C:\ProgramData», — сообщили исследователи. «Затем скомпилированный байт-код был выполнен с помощью Python и идентифицирован как PySoxy. Это превратило вторжение из цепочки доступа, управляемой PowerShell, в цепочку с избыточными путями доступа».
Исследователи отметили, что использование второго плацдарма, проксирования через PySoxy, позволяет вторжению продолжаться, даже если соединение C2 PowerShell заблокировано.
ClickFix переходит к этапу постэксплуатации
ReliaQuest указала на доказательства того, что ClickFix больше не является просто механизмом доставки через социальную инженерию. Он все чаще используется в качестве шлюза для более широких операций постэксплуатации, включающих скрытность, постоянство и злоупотребление доверенными инструментами.
Ранее в этом году компания, занимающаяся кибербезопасностью, сообщила, что ClickFix стал причиной значительной доли наблюдаемых инцидентов и действий по уклонению от защиты в конце 2025 и начале 2026 года, при этом злоумышленники полагались на обфусцированные команды и скрытые цепочки выполнения.
Использование PySoxy знаменует собой переход ClickFix к более старым легитимным инструментам с модульными методами доступа. Оркестрируя несколько путей связи в рамках цепочки, злоумышленники вынуждают защитников расширять усилия по сдерживанию.
«Заглядывая в будущее, мы ожидаем, что операторы ClickFix продолжат экспериментировать с инструментарием постэксплуатации за пределами PowerShell», — заявили исследователи. «Python — один из вариантов, но базовая логика, использующая любой доступный скриптовый рантайм для развертывания прокси или возможностей C2 без сброса традиционной полезной нагрузки, в равной степени применима и к другим интерпретаторам».
Признаки для поиска включают запланированные задачи и артефакты Python
В наблюдаемой ReliaQuest цепочке запланированные задачи неоднократно перезапускали вредоносную активность после сбоев попыток связи. ReliaQuest рекомендовала защитникам проводить специальное расследование повторяющегося создания запланированных задач наряду с необычными артефактами, связанными с Python, и активностью командной строки в стиле прокси.
Рекомендации для специалистов по реагированию на инциденты включали изоляцию затронутых хостов, проверку запланированных задач на предмет подозрительных шаблонов повторного выполнения и поиск зашифрованного прокси-поведения в процессах Python вместо того, чтобы сосредотачиваться исключительно на заблокированном трафике C2.
«Ищите командные строки, содержащие такие комбинации, как -ssl, -remote_ip, -remote_port, SOCKS или выполнение .pyc», — заявили исследователи, добавив, что это высокоценные сигналы для активности в стиле PySoxy.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
