Australia ostrzega przed kampanią ClickFix rozprzestrzeniającą Vidar Stealer przez przejęte strony WordPress - Security Bez Tabu

Australia ostrzega przed kampanią ClickFix rozprzestrzeniającą Vidar Stealer przez przejęte strony WordPress

Cybersecurity news

Wprowadzenie do problemu / definicja

Australijskie służby cyberbezpieczeństwa ostrzegają przed aktywną kampanią wykorzystującą technikę ClickFix do dystrybucji złośliwego oprogramowania Vidar Stealer. To forma inżynierii społecznej, w której ofiara zostaje nakłoniona do samodzielnego uruchomienia złośliwej komendy pod pozorem wykonania niewinnej czynności, takiej jak weryfikacja CAPTCHA lub potwierdzenie działania przeglądarki.

W opisywanym scenariuszu atak łączy kompromitację legalnych stron opartych o WordPress z ręcznym uruchomieniem polecenia PowerShell przez użytkownika. Taki model znacząco zwiększa skuteczność kampanii, ponieważ końcowy etap infekcji wygląda jak świadome działanie ofiary.

W skrócie

  • Kampania była obserwowana 7 maja 2026 roku i była wymierzona w australijskie organizacje oraz podmioty infrastrukturalne.
  • Przejęte strony WordPress przekierowują użytkowników do fałszywych ekranów weryfikacyjnych.
  • Ofiara otrzymuje instrukcję uruchomienia skopiowanej do schowka komendy PowerShell z uprawnieniami administratora.
  • Polecenie pobiera i uruchamia Vidar Stealer, malware wyspecjalizowany w kradzieży danych.
  • Zagrożenie może prowadzić do utraty poświadczeń, przejęcia sesji, kradzieży danych systemowych i kompromitacji środowisk firmowych.

Kontekst / historia

ClickFix to technika, która zyskała dużą popularność od początku 2024 roku. Jej skuteczność wynika z odejścia od klasycznego modelu ataku opartego wyłącznie na eksploatacji luki technicznej. Zamiast tego napastnicy wykorzystują zachowanie użytkownika i skłaniają go do ręcznego wykonania polecenia, co utrudnia wykrycie oraz obejście części zabezpieczeń prewencyjnych.

W bieżącej kampanii szczególnie niebezpieczne jest użycie autentycznych, lecz przejętych stron internetowych należących do realnych firm. Dzięki temu atak rozpoczyna się w środowisku, które dla ofiary wygląda wiarygodnie i nie wzbudza natychmiastowych podejrzeń.

Vidar Stealer nie jest nową rodziną malware. To znany infostealer obecny od 2018 roku, rozwijany w modelu malware-as-a-service. Jego popularność wynika z szerokiego zakresu danych możliwych do wykradzenia oraz relatywnie niskiej bariery wejścia dla cyberprzestępców.

Analiza techniczna

Łańcuch ataku rozpoczyna się od kompromitacji strony WordPress. Napastnik osadza w witrynie złośliwy komponent, który ładuje kod JavaScript z zewnętrznego serwera. Skrypt nadpisuje zawartość legalnej strony i wyświetla ekran przypominający weryfikację Cloudflare lub CAPTCHA.

Kluczowym elementem kampanii jest manipulacja schowkiem. Złośliwy JavaScript pobiera dodatkową treść, w tym zaciemnioną komendę PowerShell, a następnie kopiuje ją do schowka użytkownika. Po kliknięciu pola weryfikacyjnego ofiara otrzymuje instrukcję, aby wkleić i uruchomić polecenie z uprawnieniami administratora.

To ważna zmiana względem klasycznych kampanii malware, ponieważ finalny etap nie jest realizowany automatycznie przez exploit przeglądarki, lecz przez działanie człowieka. Dzięki temu atak może ominąć część mechanizmów blokujących automatyczne pobranie lub wykonanie kodu.

Uruchamiana komenda PowerShell pobiera właściwy ładunek z infrastruktury kontrolowanej przez napastników. W niektórych przypadkach ten sam element infrastruktury służy zarówno do osadzenia komponentu ClickFix na stronie, jak i do dostarczenia pliku wykonywalnego. Po pobraniu Vidar Stealer uruchamia się z minimalną widocznością dla ofiary.

Po infekcji malware ogranicza ślady na dysku, usuwa początkowy plik wykonywalny i działa głównie w pamięci operacyjnej. Następnie nawiązuje komunikację z infrastrukturą command-and-control i eksfiltruje dane przy użyciu żądań HTTP/S POST. Analiza wskazuje również na stosowanie technik utrudniających wykrycie oraz pozyskiwanie adresów C2 z pośrednich publicznych usług.

Mapowanie kampanii do MITRE ATT&CK obejmuje między innymi techniki związane z kompromitacją strony internetowej, użyciem PowerShell, ręcznym wykonaniem złośliwego polecenia, zaciemnianiem danych, usuwaniem plików oraz eksfiltracją danych przez kanał C2.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem infekcji jest kradzież danych uwierzytelniających, ciasteczek sesyjnych, danych autouzupełniania, informacji systemowych oraz danych powiązanych z portfelami kryptowalutowymi. W praktyce może to prowadzić do przejęcia kont, nadużyć finansowych i uzyskania dostępu do usług chmurowych lub zasobów firmowych.

Ryzyko jest szczególnie wysokie, ponieważ punkt wejścia opiera się na legalnych, lecz przejętych stronach internetowych. Użytkownicy częściej ufają takim witrynom, a ręczne wykonanie komendy może utrudniać zablokowanie ataku przez tradycyjne mechanizmy ochronne. Dodatkowo działanie malware w pamięci oraz ograniczanie artefaktów na dysku utrudniają analizę incydentu.

Warto też pamiętać, że infostealer rzadko jest celem samym w sobie. Skradzione dane mogą zostać wykorzystane do dalszych etapów operacji, takich jak przejęcie tożsamości, sprzedaż poświadczeń, ruch boczny w sieci, ataki na partnerów biznesowych lub wdrożenie ransomware.

Rekomendacje

Organizacje powinny traktować kampanie ClickFix jako zagrożenie obejmujące jednocześnie warstwę webową, stacje robocze i świadomość użytkowników. Skuteczna obrona wymaga połączenia kontroli technicznych z edukacją personelu.

  • Ograniczyć uruchamianie nieautoryzowanych skryptów i aplikacji pobieranych z internetu.
  • Wzmocnić kontrolę nad PowerShell, w tym blokować niezatwierdzone polecenia i ograniczać połączenia sieciowe inicjowane przez interpretery skryptowe.
  • Monitorować możliwość zapisu do schowka przez niezaufaną treść webową oraz analizować podejrzane interakcje w przeglądarce.
  • Regularnie aktualizować WordPress, wtyczki, motywy i wszystkie komponenty dostępne z internetu.
  • Usuwać nieużywane lub niewspierane dodatki, które mogą stanowić punkt początkowej kompromitacji.
  • Wymuszać odporne na phishing MFA dla kont uprzywilejowanych, zdalnego dostępu i usług chmurowych.
  • Filtrować ruch HTTP/S, wykrywać nietypowe żądania POST i wdrażać mechanizmy ochrony przed eksfiltracją danych.
  • Szkolić użytkowników, że żadna legalna strona nie powinna wymagać kopiowania i uruchamiania poleceń z przeglądarki w celu weryfikacji.

Podsumowanie

Kampania ClickFix wykorzystująca Vidar Stealer pokazuje, jak skuteczne może być połączenie kompromitacji legalnych stron WWW z prostą, ale dobrze zaprojektowaną socjotechniką. Napastnicy nie muszą już polegać wyłącznie na exploitach, skoro mogą skłonić użytkownika do samodzielnego uruchomienia złośliwego polecenia.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona musi obejmować nie tylko luki techniczne, lecz także zachowania użytkowników, nadużycia PowerShell, manipulację schowkiem i anomalie w ruchu wychodzącym. Kampania obserwowana w Australii potwierdza, że infostealery nadal pozostają realnym i operacyjnie groźnym zagrożeniem dla organizacji.

Źródła

  1. Australia warns of ClickFix attacks pushing Vidar Stealer malware — https://www.bleepingcomputer.com/news/security/australia-warns-of-clickfix-attacks-pushing-vidar-stealer-malware/
  2. ClickFix distributing Vidar Stealer via WordPress targeting Australian infrastructure — https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/clickfix-distributing-vidar-stealer-via-wordpress-targeting-australian-infrastructure