Идентифицирана е нова, силно усъвършенствана кампания за заразяване на потребители чрез фалшив Google Meet портал, хостван на домейна gogl-meet[.]com. Атаката използва социално-инженерен подход, наречен ClickFix, който принуждава жертвата ръчно да изпълни PowerShell команда, заобикаляйки всички стандартни механизми за защита на браузъра.
Фалшивият портал: идентичен дизайн, различна цел
Кампанията започва, когато потребител попадне на имитираща Google Meet страница – визуално неразличима от истинската услуга. Вместо стандартния прозорец за среща, потребителят получава привидно реалистично съобщение за грешка: „Can’t join the meeting“, придружено от обяснение, че има проблем с камерата или микрофона.
За разлика от конвенционален фишинг, който краде идентификационни данни, този сценарий предлага „решение“ под формата на техническа инструкция – и точно това е ключовият вектор на компрометиране.
ClickFix: манипулиране на потребителя да изпълни PowerShell команда
Фалшивият портал подканва потребителя да изпълни определена последователност от клавиши:
-
Windows Key + R (отворете Run прозореца)
-
CTRL + V (поставете копирания текст)
-
Enter (изпълнете командата)
Жертвата не осъзнава, че JavaScript функция вече е копирала злонамерен PowerShell скрипт в клипборда. Тази техника:
-
заобикаля Google Safe Browsing;
-
заобикаля Microsoft SmartScreen;
-
елиминира нуждата от сваляне на файл или разрешения в браузъра;
-
използва изцяло доверие към потребителя да изпревари собствената си защита.
Форензика: MFT записите доказват произхода на атаката
При инциденти с gogl-meet[.]com разследващите екипи са открили инфекцията чрез анализ на Master File Table (MFT).
Алтернативните потоци от данни (ADS) към payload файла са съдържали:
-
изходния ClickFix PowerShell скрипт;
-
референтния URL към gogl-meet[.]com;
-
времеви и контекстуални маркери, показващи ръчно изпълнение.
Този артефакт е изключително важен за защитниците, защото доказва, че заразата е резултат от ръчна потребителска команда – а не автоматичен drive-by exploit или имейл прикачен файл.
Маскиране чрез визуални символи и обфускация
Последната вълна на атаки показва специфична еволюция: злонамереният PowerShell код е „опакован“ в големи блокове от коментари, съдържащи зелени отметки (✅) и други „доверени“ символи.
Този подход има две цели:
-
визуална манипулация – когато текстът се пастира в малкия Run прозорец, видими са само зелени отметки, внушаващи „потвърден“ или „безопасен“ код;
-
техническо скриване – реалният IEX download cradle е изместен извън визуалното поле.
Това е ново ниво на психологическа атака, комбинирано с обфускация.
Таргетиране на корпоративни среди чрез Google Meet
Докато ранните ClickFix кампании имитираха генерични актуализации или Word грешки, тази версия е насочена към корпоративни среди, където:
-
видеоконферентните инструменти са критични;
-
„грешки при камера/микрофон“ са чести;
-
служителите са по-склонни да следват инструкции за бързо отстраняване на проблем.
Това превръща Google Meet симулацията в идеален вектор срещу отдалечени служители и атакувани компании.
Какво да правят защитните екипи
Експертите препоръчват незабавни мерки:
1. Детекция на PowerShell изпълнения от Run прозореца
Особено ако съдържат необичайни Unicode символи или дълги блокове коментари.
2. Стриктни политики за PowerShell изпълнение
Ограничаване на IEX командите и мониторинг на clipboard манипулации.
3. Обучение на служителите
Ясно обяснение, че нито Google Meet, нито друга легитимна услуга ще изисква ръчно стартиране на PowerShell през Run.
4. Блокиране на домейна и подобни имитации
Включително „typo-squatting“ варианти като gogl-meet, gooqle-meet, gmeet-app и др.
Кампанията с gogl-meet[.]com показва нова ера в социалното инженерство – такава, която комбинира визуална идентичност, психологически трикове и ръчно изпълнение на код, за да заобиколи всички системи за защита. Това е сериозен риск за организациите, особено в условията на масова дистанционна работа, и изисква незабавни мерки за повишаване на осведомеността и технологичните контроли.
