Читатели Gizmodo столкнулись с ClickFix после взлома аккаунта

Ключевые факты

• Взлом учётного аккаунта позволил внедрить вредоносный скрипт в содержимое сайта
• ClickFix маскируется под экраны CAPTCHA для обмана пользователей
• NetSupport RAT может извлекать файлы и загружать дополнительные вредоносы программы
• Быстрая реакция сайта ограничила период воздействия на читателей
• macOS менее уязвима благодаря дополнительным препятствиям

Ред. Кто-то наконец придумал капчу, которую человек проходит за машину. Вы доказываете, что вы не робот, собственноручно запуская робота на своей машине.

Почему это важно

ClickFix остаётся одной из самых распространённых атак через социальную инженерию. Когда вредоноса встроена прямо в авторитетный сайт, люди опускают защиту. Взлом аккаунта редакции, типичный вектор: достаточно одного скомпрометированного пароля, чтобы скорпус потерял контроль над своим контентом. Это показывает, что даже крупные медиа-ресурсы остаются в зоне риска.

Ред. Самое надёжное звено защиты теперь это пользователь, который сам копирует команду в консоль. Доверенный домен работает как пропуск: люди отключают подозрительность ровно там, где привыкли её не включать.

Кому это важно

Прежде всего пострадали читатели Gizmodo, посетившие сайт в окне в несколько часов. Windows-пользователи столкнулись с риском заражения троянцем удалённого доступа. Mac-пользователи были затронуты меньше благодаря защите системы. Однако сам инцидент актуален для всех, кто работает с авторитетными источниками информации и нечасто проверяет, откуда приходят запросы.

Ред. Список пострадавших короткий и предсказуемый: те, кто читает любимый сайт и доверяет ему по инерции. Mac-юзеры в этот раз спаслись не бдительностью, а тем, что система просто спросила пароль; повезло, что лень совпала с безопасностью.

Как это применить

Если вы видите запрос CAPTCHA на привычном вам сайте, проверьте несколько моментов. Во-первых, убедитесь, что находитесь на верном адресе (посмотрите в адресную строку). Во-вторых, если запрос неожиданный, перезагрузите страницу или зайдите заново. В-третьих, не доверяйте скриптам, которые просят скачать архивы или запустить инсталляторы. Если что-то выглядит странно, лучше проверить статус сайта в соцсетях редакции.

Ред. Главное правило простое: ни один нормальный сайт никогда не попросит вас открыть консоль или запустить инсталлятор, чтобы доказать, что вы человек. Если экран велит что-то скачать и нажать, это уже не капча, это собеседование на роль жертвы.

Можно ли доверять

Gizmodo быстро отреагировал на инцидент и прозрачно его описал. Это хороший знак: редакция не скрывала происшедшее. Однако это не означает, что такое больше не случится. Даже авторитетные издания могут быть взломаны. Лучше не отключать критическое мышление ни на каком сайте, каким бы известным он ни был.

Ред. Gizmodo повёл себя образцово: быстро вырубил сайт, вычистил скрипт, всё рассказал. Похвально, но честность постфактум не отменяет того, что одного чужого пароля хватило, чтобы редакция временно раздавала вирусы вместо новостей.

Риски и подводные камни

NetSupport RAT в руках злоумышленника может делать много неприятного: воровать файлы, логи, учётные данные, использовать компьютер для атак на другие системы. На Windows это особенно опасно, потому что система даёт приложениям много прав. Если у вас была открыта Gizmodo в момент взлома и вы видели странные запросы, стоит проверить компьютер антивирусом. На этот раз большинство пользователей отделалось лёгким испугом, но это не гарантирует, что следующая атака будет такой же неудачной.

Ред. NetSupport RAT это не разовая шалость, а постоянный гость: файлы, пароли, чужие атаки с вашего IP. Большинство в этот раз отделалось испугом, но удача плохо масштабируется; следующий скрипт может не споткнуться о пароль.