Новая кампания ClickFix и роль Windows Search
Во вторник, 2 сентября 2025 года, киберпреступники инициировали новую кампанию ClickFix с использованием Windows Search для распространения MetaStealer. Кампания начиналась на фишинговой странице anydeesk[.]ink/download/anydesk[.]html, где пользователям предлагалось пройти проверку через поддельный запрос Cloudflare Turnstile. Нажатие кнопки «Проверить» перенаправляло жертв на страницу reCAPTCHA, вызывая схему URI search-ms.
Обманный процесс и внедрение вредоносного ПО
Схема search-ms открывала специальный Windows File Explorer с подключением к SMB-ресурсу под контролем атакующего. Пользователь видел Readme AnyDesk.pdf, который на самом деле был вредоносной LNK ссылкой. Эта ссылка загружала официальный установщик AnyDesk и поддельный MSI файл с сайта chat1[.]store в временную директорию, используя %COMPUTERNAME% жертвы для генерации URL-адресов и сбора имен хостов.
Внутри MSI находилась библиотека CustomActionDLL и сжатый CAB файл (Binary.bz.WrappedSetupProgram), которые распаковывали JavaScript (1.js) и выполняемый файл ls26.exe, дроппер MetaStealer. Защищённый Private EXE Protector, ls26.exe сканировал учетные данные пользователей, кошельки криптовалют и документы перед их эксфильтрацией.
Защита и рекомендации
Этот вариант MetaStealer отличается от классических ClickFix и FileFix, используя URI search-ms и SMB-ресурсы для обхода ограничений командного диалога и одновременно поставляя установщик AnyDesk с вредоносной нагрузкой.
- Рекомендуется внедрять белые списки приложений для блокировки несанкционированных сценариев и установок MSI.
- Контролировать доступ протокола Windows search-ms к небезопасным SMB-ресурсам.
- Обучать пользователей не доверять нежелательным CAPTCHA или проверочным запросам, требующим выполнения команд или открытия файлов.
- Развернуть правила обнаружения на конечных устройствах для выявления неожиданных запусков msiexec.exe и cmd.exe, а также подключений к неизвестным хостам SMB.
Индикаторы компрометации: anydeesk[.]ink/download/anydesk[.]html; macawiwmaacckuow[.]xyz; yeosyyyaewokgioa[.]xyz; cmqsqomiwwksmcsw[.]xyz; 38[.]134[.]148[.]74; SHA256 ls26.exe 0fc76b7f06aa80a43abafc1e9b88348734e327feb306d700c877c6a210fbd5e7.
Эти данные были предоставлены Mayura Kathir из GBHackers News.
