В мае 2025 года эксперты BI.ZONE обнаружили серию атак, в которых злоумышленники использовали фейковую CAPTCHA для внедрения трояна. Вредоносный код маскировался под изображения с политическими мемами, а конечной целью атаки был шпионаж.
В мае 2025 года эксперты BI.ZONE Threat Intelligence обнаружили как минимум две атаки на российские организации с использованием техники ClickFix. Злоумышленники выдавали себя за силовые структуры и рассылали жертвам PDF-документы с заблюренным текстом. Чтобы прочитать файл, пользователю предлагали подтвердить, что он не робот. Нажатие на кнопку вело на фальшивую страницу с CAPTCHA, где клик по «Я не робот» незаметно копировал в буфер PowerShell-сценарий. Затем жертву просили выполнить команды — якобы для доступа к документу, но на самом деле они запускали вредоносный код.
«Техника ClickFix получила такое название, потому что злоумышленники предлагают пользователю выполнить ряд простых действий, чтобы исправить какую‑либо техническую проблему. По сути, жертву убеждают выполнить вредоносную команду самостоятельно».
Олег Скулкин, руководитель BI.ZONE Threat Intelligence
Скрипт загружал PNG-изображение с сервера злоумышленников, из которого извлекался загрузчик Octowave Loader. В нем среди легитимных файлов скрывался вредоносный код, замаскированный стеганографией. Он запускал ранее неизвестный троян удаленного доступа (RAT), вероятно, созданный атакующими. Троян собирал данные о системе (имя пользователя, ОС, права) и позволял злоумышленникам выполнять команды на устройстве жертвы. Длинная цепочка атаки с обходом защиты повышала шансы на успех.
Вредоносный PNG содержал политические мемы, но жертва не видела файл — он скачивался скрытно. Использование самописного RAT и маскировка под силовые структуры указывают на цель атак — шпионаж. Обе кампании начинались с фишинга.