MetaStealer: Новая атака через Windows Search и AnyDesk

02.09.2025

Новая кампания ClickFix и роль Windows Search

Во вторник, 2 сентября 2025 года, киберпреступники инициировали новую кампанию ClickFix с использованием Windows Search для распространения MetaStealer. Кампания начиналась на фишинговой странице anydeesk[.]ink/download/anydesk[.]html, где пользователям предлагалось пройти проверку через поддельный запрос Cloudflare Turnstile. Нажатие кнопки «Проверить» перенаправляло жертв на страницу reCAPTCHA, вызывая схему URI search-ms.

Обманный процесс и внедрение вредоносного ПО

Схема search-ms открывала специальный Windows File Explorer с подключением к SMB-ресурсу под контролем атакующего. Пользователь видел Readme AnyDesk.pdf, который на самом деле был вредоносной LNK ссылкой. Эта ссылка загружала официальный установщик AnyDesk и поддельный MSI файл с сайта chat1[.]store в временную директорию, используя %COMPUTERNAME% жертвы для генерации URL-адресов и сбора имен хостов.

Внутри MSI находилась библиотека CustomActionDLL и сжатый CAB файл (Binary.bz.WrappedSetupProgram), которые распаковывали JavaScript (1.js) и выполняемый файл ls26.exe, дроппер MetaStealer. Защищённый Private EXE Protector, ls26.exe сканировал учетные данные пользователей, кошельки криптовалют и документы перед их эксфильтрацией.

Защита и рекомендации

Этот вариант MetaStealer отличается от классических ClickFix и FileFix, используя URI search-ms и SMB-ресурсы для обхода ограничений командного диалога и одновременно поставляя установщик AnyDesk с вредоносной нагрузкой.

  1. Рекомендуется внедрять белые списки приложений для блокировки несанкционированных сценариев и установок MSI.
  2. Контролировать доступ протокола Windows search-ms к небезопасным SMB-ресурсам.
  3. Обучать пользователей не доверять нежелательным CAPTCHA или проверочным запросам, требующим выполнения команд или открытия файлов.
  4. Развернуть правила обнаружения на конечных устройствах для выявления неожиданных запусков msiexec.exe и cmd.exe, а также подключений к неизвестным хостам SMB.

Индикаторы компрометации: anydeesk[.]ink/download/anydesk[.]html; macawiwmaacckuow[.]xyz; yeosyyyaewokgioa[.]xyz; cmqsqomiwwksmcsw[.]xyz; 38[.]134[.]148[.]74; SHA256 ls26.exe 0fc76b7f06aa80a43abafc1e9b88348734e327feb306d700c877c6a210fbd5e7.

Эти данные были предоставлены Mayura Kathir из GBHackers News.

Обновлено: 02.09.2025

Самые популярные для Desktop Windows

K-Lite Codec Pack (Standard)

K-Lite Codec Pack (Standard)

4
22 отзывы
7800004
скачали
uTorrent

uTorrent

Полная версия uTorrent скачать бесплатно на windows и андроид

5
1032 отзывы
7508630
скачали
Zona

Zona

Полная версия Zona скачать бесплатно на windows и андроид

4
614 отзывы
1735705
скачали
WinRAR

WinRAR

Упрощайте управление файлами, сжимайте и извлекайте их быстро и безопасно.

5
735 отзывы
746793
скачали

Комментарии (0)

Комментариев пока нет. Будьте первым!