16.02.2026
1 хв
326
Дослідники Microsoft виявили нову небезпечну модифікацію атак ClickFix, де зловмисники вперше використовують DNS-запити як канал для доставки шкідливого навантаження. Жертв змушують виконувати команду nslookup, яка звертається до підконтрольного хакерам сервера і завантажує PowerShell-скрипт для подальшого зараження системи трояном ModeloRAT.
На відміну від класичних атак, що використовують HTTP, ця версія зловживає механізмом DNS-лукапів. Користувачу пропонують ввести команду у вікно Windows «Виконати» (Run). Команда ініціює запит до хакерського DNS-сервера, який у відповідь повертає поле «NAME:», що містить замаскований PowerShell-код. Після виконання скрипт розгортає Python-середовище, встановлює закріплення в системі через автозавантаження та запускає віддалений доступ для хакерів.
Кампанії ClickFix базуються на соціальній інженерії: користувача переконують, що в браузері або системі виникла помилка, і надають «інструкцію» з її виправлення, яка насправді є шкідливою командою. Останнім часом техніка швидко еволюціонує: зловмисники вже використовували фейкові сторінки ChatGPT, Grok, Claude Artifacts та навіть коментарі на Pastebin для розповсюдження своїх скриптів.
Використання DNS дозволяє хакерам обходити стандартні системи моніторингу трафіку, оскільки такі запити виглядають як легітимна мережева активність. Користувачам наполегливо рекомендується ніколи не копіювати та не запускати команди з неперевірених вебсторінок, навіть якщо вони виглядають як офіційні повідомлення про помилки.
