Популярная студенческая платформа iClicker оказалась мишенью масштабной фишинговой атаки, которая маскировалась под обычную CAPTCHA.
Пользователей просили подтвердить, что они не роботы, после чего предлагали вручную запустить PowerShell-команду — под предлогом верификации. На деле это был способ заставить жертву установить вредоносный код, способный перехватывать контроль над устройством.
Атака, зафиксированная в период с 12 по 16 апреля 2025 года, была направлена в первую очередь на русскоязычных студентов и преподавателей, использующих VPN или проживающих за пределами США. Об этом сообщили исследователи из F6 и команда Safe Computing Университета Мичигана. Уловка заключалась в том, что после клика по CAPTCHA пользователю в буфер обмена тайно копировался зашифрованный скрипт, а затем — инструкции, как вручную его запустить через диалог Windows Run (Win + R).
По данным экспертов, вредоносный код подключался к удалённому серверу и в зависимости от устройства жертвы либо загружал вредоносный скрипт, либо отвлекал внимание установкой безобидного ПО. Такой подход позволяет избежать обнаружения в песочницах для анализа вирусов. Анализ показал, что цель атаки — кража чувствительной информации: паролей, файлов, криптокошельков и ключей.
Компания Macmillan, владеющая iClicker, проигнорировала запросы журналистов, но опубликовала скрытое от поисковиков заявление, в котором признала факт инцидента. Разработчики уверяют, что ни база пользователей, ни приложения не пострадали. Тем не менее, пользователям, заходившим на сайт в указанный период, рекомендовано срочно сменить пароли и проверить устройства антивирусом.
Пользователей просили подтвердить, что они не роботы, после чего предлагали вручную запустить PowerShell-команду — под предлогом верификации. На деле это был способ заставить жертву установить вредоносный код, способный перехватывать контроль над устройством.
Атака, зафиксированная в период с 12 по 16 апреля 2025 года, была направлена в первую очередь на русскоязычных студентов и преподавателей, использующих VPN или проживающих за пределами США. Об этом сообщили исследователи из F6 и команда Safe Computing Университета Мичигана. Уловка заключалась в том, что после клика по CAPTCHA пользователю в буфер обмена тайно копировался зашифрованный скрипт, а затем — инструкции, как вручную его запустить через диалог Windows Run (Win + R).
По данным экспертов, вредоносный код подключался к удалённому серверу и в зависимости от устройства жертвы либо загружал вредоносный скрипт, либо отвлекал внимание установкой безобидного ПО. Такой подход позволяет избежать обнаружения в песочницах для анализа вирусов. Анализ показал, что цель атаки — кража чувствительной информации: паролей, файлов, криптокошельков и ключей.
Компания Macmillan, владеющая iClicker, проигнорировала запросы журналистов, но опубликовала скрытое от поисковиков заявление, в котором признала факт инцидента. Разработчики уверяют, что ни база пользователей, ни приложения не пострадали. Тем не менее, пользователям, заходившим на сайт в указанный период, рекомендовано срочно сменить пароли и проверить устройства антивирусом.
