Как работи една на пръв поглед безобидна услуга
Ново изследване на Huntress разкрива опасна кампания, при която фалшив сайт за премахване на фон от изображения подвежда потребителите сами да заразят устройствата си. Атаката, известна като BackgroundFix, се представя като безплатен онлайн инструмент – точно от типа услуги, които често се появяват при бързо търсене в Google.
На пръв поглед всичко изглежда легитимно – бутони за качване на снимка, индикатори за обработка, опция за изтегляне. В действителност обаче няма никаква реална функционалност. Целта е една – да се манипулира потребителят да изпълни зловредна команда.
Социално инженерство от ново поколение – техниката ClickFix
Кампанията използва добре позната техника за социално инженерство – ClickFix, анализирана от изследователя Ана Фам.
Атаката започва с привидно стандартна стъпка – отбелязване на „I’m not a robot“ (не съм робот). В този момент:
- В клипборда на потребителя се копира скрита команда
- Показват се инструкции как да бъде изпълнена
- Командата осъществява връзка със сървър, контролиран от атакуващите
Ключов детайл: качените изображения не се обработват и не се крадат. Реалната заплаха възниква едва когато потребителят изпълни указанията.
Какво следва след компрометиране
След стартиране на командата се активира зловреден loader, известен като CastleLoader, който служи като платформа за доставка на допълнителен малуер.
В рамките на тази кампания са наблюдавани:
- NetSupport Manager (RAT) – легитимен инструмент за отдалечен достъп, използван тук за пълен контрол върху системата
- CastleStealer – персонализиран .NET инфостийлър
CastleStealer има за цел да извлича:
- Запазени пароли в браузъра
- Бисквитки (cookies)
- Данни от крипто портфейли
- Сесии от Telegram
Кампанията не е изолиран случай
Чрез платформата Validin изследователите идентифицират поне осем различни домейна, използващи същия шаблон BackgroundFix. Това показва, че става дума за активна и разрастваща се кампания, а не за единична измама.
Как да се предпазим
Експертите препоръчват няколко ключови мерки:
Избягвайте подозрителни инструкции
- Никога не изпълнявайте команди чрез Win+R, копирани от уебсайтове
- Не се доверявайте на „верификации“, изискващи copy-paste действия
Поддържайте системите актуални
- Обновявайте редовно браузъри като Google Chrome и други Chromium-базирани решения
Ограничете ненужните инструменти
- Деактивирайте остарели компоненти като
finger.exe, които могат да бъдат използвани в атаки
Бъдете критични към „безплатни“ онлайн услуги
- Особено ако са рекламирани или идват от непознати домейни
По-широкият контекст – доверието като уязвимост
Тази кампания е пореден пример как социалното инженерство остава една от най-ефективните техники в киберзаплахите. Вместо да пробиват сложни защити, атакуващите разчитат на човешкия фактор – доверие, бързина и липса на внимание.
В епоха, в която безплатните онлайн инструменти са навсякъде, границата между легитимно и зловредно съдържание става все по-трудна за разпознаване. Именно затова информираността и базовата киберхигиена остават първата линия на защита.
