Дослідники Mandiant зафіксували нову хвилю атак із використанням тактики ClickFix, де жертв змушують запускати шкідливі PowerShell-команди через підроблені CAPTCHA-сторінки. Це приводить до встановлення бекдора CORNFLAKE.V3, який дозволяє хакерам запускати додаткові зловмисні навантаження.
Атака починається з SEO-підроблених результатів пошуку чи реклами, що ведуть на фейкову CAPTCHA. Користувач отримує інструкції скопіювати команду у Windows Run, після чого завантажується скрипт для перевірки віртуального середовища й запуску CORNFLAKE.V3. Бекдор здатний виконувати файли через HTTP (DLL, JS, batch, PowerShell), збирати дані про систему та підтримує персистентність через реєстр. Дослідники виявили кілька доставлених через нього компонентів: утиліту розвідки Active Directory, скрипт для крадіжки паролів методом Kerberoasting та бекдор WINDYTWIST.SEA для віддаленого доступу й реверс-шела.
ClickFix використовується кіберзлочинцями з кінця 2024 року й активно продається у вигляді конструкторів за 200–1500 $ на форумах. Тактика базується на тому, що користувач сам запускає команду, тому вона оминає антивіруси та захист. Зафіксовано поширення різних шкідників через ClickFix: Lumma Stealer, AsyncRAT, Xworm, NetSupport RAT, Latrodectus, Lampion та інші. Microsoft відзначає, що такі атаки комбінуються з фішингом і malvertising, а часом маскуються під сервіси Discord чи Cloudflare.
Фальшиві CAPTCHA й ClickFix залишаються дієвими інструментами соціальної інженерії, тому користувачам радять ніколи не копіювати команди у Run чи PowerShell з підозрілих сайтів. Організаціям рекомендують вимикати Run, вмикати логування PowerShell і проводити навчання співробітників, щоб зменшити ризик зараження CORNFLAKE.V3 та подібними бекдорами.
