Группа хакеров Kimsuky начала использовать новый способ атак, вдохновленный методом ClickFix, который стал популярен среди киберпреступников. Они отправляют ложные сообщения об ошибках или уведомления, чтобы заставить жертв запустить вредоносный код самостоятельно. Это обычно PowerShell-команды, которые заражают компьютер.
Хакеры выдают себя за сотрудников южнокорейских государственных органов и устанавливают контакт с потенциальной жертвой. Они отправляют письмо с вложением в формате PDF и направляют пользователя на фальшивую страницу регистрации устройства. Пользователю предлагают запустить PowerShell с административными правами и вставить предоставленный код.
После выполнения команды на компьютер устанавливается инструмент удалённого рабочего стола. Затем устройство регистрируется на сервере хакера, что дает им полный доступ к системе жертвы. Таким образом, они могут шпионить и красть конфиденциальные данные.
Microsoft заметила это в январе 2025 года. Целью стали сотрудники международных организаций, неправительственных структур, государственных учреждений и СМИ в разных странах. Компания предупреждает пользователей быть осторожными с незнакомыми контактами.
Эксперты отмечают, что использование ClickFix хакерами Kimsuky подтверждает его эффективность. Этот метод обходит традиционные защитные механизмы благодаря социальной инженерии, заставляя пользователей выполнять вредоносные команды.
Пользователям важно быть бдительными и не запускать команды из ненадежных источников, особенно с административными правами. Любое предложение запустить PowerShell или аналогичный инструмент от неизвестных контактов должно вызывать подозрения.
