Фальшивые страницы Google Meet распространяют инфостилеры

Аналитики Sekoia предупредили, что злоумышленники используют фейковые страницы Google Meet в рамках кампании ClickFix, которая направлена на распространение инфостилеров для Windows и macOS.

В последние месяцы разновидности ClickFix (она же ClearFake и OneDrive Pastejacking) встречаются часто. Злоумышленники используют различные приманки для перенаправления пользователей на фальшивые страницы, где их убеждают установить вредоносное ПО, призывая вручную выполнить PowerShell-код, который якобы поможет решить проблему с отображением контента в браузере.

Впервые о тактике ClickFix сообщила компания Proofpoint, обнаруживавшая такие атаки в мае 2024 года. Тогда атакующие имитировали ошибки Google Chrome, Microsoft Word и OneDrive.

Летом текущего года специалисты McAfee писали, что ClickFix распространяется все дальше, и атаки стали особенно частыми в США и Японии.

«Эта тактика связана с отображением фальшивых сообщений об ошибках в браузерах, чтобы обманом заставить пользователей скопировать и выполнить вредоносный PowerShell-код, который в итоге заразит их системы», — рассказывают теперь эксперты Sekoia.

Исследователи объясняют, что эти приемы социальной инженерии примечательны тем, что позволяют хакерам эффективно избегать обнаружения. Ведь жертвам предлагается вручную запустить вредоносный PowerShell непосредственно в терминале, то есть скопировать «патч» в буфер обмена и сделать все самостоятельно.

Такие вредоносные страницы могут маскироваться под популярные сайты и сервисы, включая Facebook*, Google Chrome, PDFSimpli и reCAPTCHA, а теперь к ним добавились Google Meet и, возможно, Zoom.

Так, злоумышленники рассылают жертвам письма, которые выглядят как обычные приглашения в Google Meet, якобы связанные с рабочими конференциями и другим важными мероприятиями. В основном такие атаки нацелены на транспортные и логистические компании. При этом URL-адреса фальшивых страниц обычно похожи на настоящие:

• meet.google.us-join[.]com
• meet.googie.com-join[.]us
• meet.google.com-join[.]us
• meet.google.web-join[.]com
• meet.google.web-joining[.]com
• meet.google.cdm-join[.]us
• meet.google.us07host[.]com
• googiedrivers[.]com
• us01web-zoom[.]us
• us002webzoom[.]us
• web05-zoom[.]us
• webroom-zoom[.]us

Как только жертва переходит на такой лендинг, она получает всплывающее уведомление о технической проблеме (например, о неполадках с микрофоном или гарнитурой).

Если пользователь нажимает на кнопку «Попробовать исправить», начинается стандартный процесс заражения ClickFix, в ходе которого PowerShell-код, скопированный с сайта, нужно выполнить вручную. В итоге устройство жертвы заражается малварью, полученной с домена googiedrivers[.]com.

В Windows такие атаки приводят к установке стилеров StealC и Rhadamanthys, а пользователям macOS предлагается вредоносный файл образа (Launcher_v1.94.dmg), который содержит другой известный стилер — Atomic.

Исследователи Sekoia связывают злоумышленников, маскирующих свои атаки под  Google Meet, с двумя группировками: Slavic Nation Empire (она же Slavice Nation Land) и Scamquerteo, которые являются подгруппами markopolo и CryptoLove.

«Обе команды используют один и тот же шаблон ClickFix, который имитирует Google Meet, — пишут специалисты. — Это открытие позволяет предположить, что группы используют общие материалы для лендингов, а также делят одну инфраструктуру».

Все это привело исследователей к мысли, что обе группировки могут использовать некий пока неизвестный экспертам хакерский сервис, а их инфраструктурой, вероятно, вообще управляет третья сторона.

*Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.