🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и путь к реальным скиллам.

Хакеры снова балуются завтраками. На этот раз в меню — CORNFLAKE.V3, свежая версия бэкдора, который распространяется через модную нынче тактику ClickFix. Вместо банальных фишинговых писем злоумышленники суют жертвам фейковые CAPTCHA-страницы, где пользователю предлагают «помочь системе» и вставить команду в Windows Run. Ну а дальше — каша заварилась.

Исследователи из Mandiant (Google) говорят, что за схемой стоит группировка UNC5518, которая продаёт доступ к заражённым системам как сервис. А уж там подключаются другие:

  • UNC5774 — чисто «финансовые гурманы», пихают CORNFLAKE ради последующей установки разных полезных зловредов.

  • UNC4108 — мотивацию до конца не поняли, но PowerShell у них в руках как швейцарский нож: VOLTMARKER, NetSupport RAT и прочие подарки.

Как работает ClickFix

Жертва кликает по SEO-запоротым результатам или вредоносной рекламе → попадает на страницу «подтвердите, что вы не робот» → копирует в Run зловредный PowerShell → на систему прилетает дроппер → CORNFLAKE.V3 выходит в сеть через Cloudflare-туннели, делая вид, что он «законный трафик».

Возможности у CORNFLAKE.V3:

  • запускает любой полезный груз (exe, DLL, JS, батники, PowerShell);

  • собирает базовую инфу о системе;

  • сидит в реестре для постоянки;

  • прилагает дополнительное угощение в виде инструментов для Kerberoasting и ещё одного бэкдора WINDYTWIST.SEA.

В отличие от старой версии CORNFLAKE.V2, которая умела только качать DLL-ки, теперь у нас полноценный комбайн.

Кликнул — попал

ClickFix стал любимым приёмом кибербанд за последний год. Ловят пользователей на «исправь ошибку», «подтверди CAPTCHA» или даже «подтверди аккаунт в Discord». Итог один: человек сам копирует и запускает команду, а автоматические защитные системы хлопают глазами.

На форумах уже вовсю толкают ClickFix-билдеры за $200–$1500 в месяц. В комплекте — странички под Cloudflare, Discord и прочие «правдоподобные» приманки. Продавцы обещают полный обход антивирусов и даже Microsoft Defender SmartScreen.

Бонус-трек: вирусы на флешках

Параллельно Mandiant заметил кампанию с заражёнными USB. В ход идёт целый сет малвари — DIRTYBULK, CUTFAIL, HIGHREPS, PUMPBENCH, а на десерт — майнер XMRig. USB всё ещё работает как дешёвый и эффективный способ пронести заразу сквозь сеть.

ClickFix — это та самая «капча», которую лучше не проходить. А CORNFLAKE.V3 — отличный пример того, как банальная привычка «копировать и вставить» превращается в билет на тёмную сторону.

Берегите себя и свои нервы.

📘 Понравилась статья?

Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.

Зарегистрироваться Подписаться в Telegram
← Назад к статьям

Рекомендуемые статьи

Обложка

Влияние алгоритмов соцсетей на распространение фейков

Читать полностью →
Обложка

HybridPetya обходящий UEFI Secure Boot

Читать полностью →
Обложка

Слышь, купи курсы по кибербезу

Читать полностью →