LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
речник на заплахите

ClickFix (Фалшив CAPTCHA)

Социално-инженерен примамка, която кара посетителя да постави PowerShell или Run-dialog команда, представена като 'потвърждение, че сте човек'.

Какво представлява

Кампаниите ClickFix отвличат легитимни сайтове или работят на подобни фалшиви лендинг страници. Фалшиво reCAPTCHA/Cloudflare поле инструктира потребителя да натисне Windows+R и да постави команда, предоставена от атакуващия, която изтегля и изпълнява loader (често Lumma, AsyncRAT или NetSupport). Тъй като зловредният полезен товар се изпълнява от самия потребител в неговия шел, уеб филтри и EDR често го пропускат.

Примери от реалния свят

  • Фалшив reCAPTCHA, водещ до Lumma Stealer през 2024–2025.
  • Компрометирани WordPress сайтове, сервиращи overlay с 'Verify you are human'.

Как ExploitShield го открива

Headless браузърът на ExploitShield разпознава DOM шаблона на примамката и сигнализира за iframe инициаторската верига, извикването на clipboard.writeText() и C2 домейна — превръщайки атака, зависеща от потребителя, в доказателствена следа, на която можете да предприемете действия преди друг посетител да стигне до страницата.

Свързани термини

Комплект за експлоитиDrive-by download