100 автокъщи са засегнати от атака по веригата за доставки

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Уебсайтовете на повече от 100 автокъщи бяха открити със зловреден код на ClickFix, след като домейн на трета страна беше компрометиран при атака по веригата за доставки.

Като част от компрометирането участник в заплахата е заразил LES Automotive, услуга за споделено видео, уникална за търговските представителства, така че уебсайтовете, използващи услугата, да показват на посетителите си уебстраница ClickFix.

Атаката ClickFix разчита на зловреден код в уебстраницата, който показва подкана на потребителя с искане да поправи грешка или да изпълни повторно предизвикателство (reCAPTCHA), за да докаже, че е човек.

Когато потребителят щракне върху подкана, злонамерената команда се копира в клипборда, а освен това потребителят е инструктиран да извърши клавишни комбинации, които отварят подкана Windows Run, да постави копираната команда в подкана и да я изпълни.

Техниката на социалното инженерство се използва от няколко години, но започна да набира популярност сред киберпрестъпниците и APT през миналата година, като през последните няколко месеца се наблюдава рязък скок в приемането ѝ.

През октомври 2024 г. HHS предупреди за рускоговорящи киберпрестъпници, които използват техниката ClickFix в своите атаки поне от април 2024 г. насам.

ClickFix е била използвана за разпространение на устройства за кражба на информация и други видове зловреден софтуер сред потребители в различни сектори. Неотдавна Microsoft предупреди за широко разпространена кампания, насочена към хотелиерската индустрия.

Както предупреди изследователят в областта на сигурността Ранди Макин, посетителите на уебсайтовете на повече от 100 автокъщи, използващи LES Automotive, са били обект на кампания ClickFix, разпространяваща зловредния софтуер SectopRAT.

Атаката е използвала фалшивия вариант reCAPTCHA на ClickFix, като е разчитала на команди PowerShell за разполагане на полезен товар на машината на жертвата и в крайна сметка за заразяване с троянски кон за отдалечен достъп.

Кодът на JavaScript, предназначен за копиране на зловредния код в клипборда, открива McEoin, съдържа поне един коментар на руски език. Той отбелязва, че на потребителите често се подава доброкачествена версия на скрипта, което предполага, че инжектирането вероятно е извършено динамично.

#атаки
По материали от Интернет

Подобни

NPM пакет се опитва да манипулира ИИ-базирани системи за сигурност
4.12.2025
ai
MuddyWater с нова тайна кампания MuddyViper
4.12.2025
iran-hackers
ShadyPanda - седемгодишна глобална кампания
2.12.2025
chinese-hacker-panda
Зловредно използване на легитимни Windows инструменти
2.12.2025
winbug
Tomiris: Ново поколение кибератаки срещу дипломати и държавни служители
1.12.2025
ddos attack-5338472_1280
Атака през частна OAST инфраструктура
1.12.2025
IMG-MC-malwareprotectiontest

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.