Користувачі, які намагаються скористатися онлайн-інструментами для видалення фону із зображень, ризикують завантажити шкідливе програмне забезпечення на свій комп’ютер. Дослідники з компанії Huntress виявили, що зловмисники використовують техніку пошукової оптимізації для просування шахрайського ресурсу у верхні рядки видачі пошукових систем. Коли користувач відкриває такий сайт, він не отримує обіцяної обробки зображення, а натомість отримує запит на виконання технічної маніпуляції для підтвердження того, що він є реальною людиною, а не автоматизованим ботом.
Механізм атаки базується на так званій тактиці ClickFix, яка змушує жертву власноруч ініціювати зараження свого пристрою. Користувачам пропонують відкрити системну утиліту Windows Run, натиснувши клавіші Win та R, а потім скопіювати та вставити надану команду. Ця дія запускає завантажувач під назвою CastleLoader, який стає ключовим елементом для подальшого проникнення в систему. Після успішного запуску цього коду на комп’ютер встановлюються додаткові шкідливі інструменти, призначені для отримання повного контролю над обліковим записом жертви та її особистими даними.
Одним із таких інструментів є віддалений троян доступу NetSupport RAT, який забезпечує зловмисникам повноцінний віддалений контроль над зараженим пристроєм у режимі реального часу. Разом із ним розгортається CastleStealer — спеціалізоване програмне забезпечення на базі платформи .NET. Це шкідливе ПЗ цілеспрямовано сканує браузери користувача для викрадення збережених паролів, даних про криптографічні гаманці, токенів Discord, а також файлів сесій Telegram, що дозволяє злочинцям миттєво перехоплювати доступ до більшості онлайн-сервісів жертви.
Спеціалісти наголошують, що подібні кампанії базуються на довірливості та технічній необізнаності рядових користувачів. Жоден легітимний онлайн-сервіс не потребує від клієнта введення команд у системну консоль Windows для верифікації особистості. Використання таких методів є однозначною ознакою злочинної діяльності. Для мінімізації ризиків адміністратори комп’ютерних мереж мають можливість повністю вимкнути функцію Win + R, хоча головним захистом залишається критичне ставлення до будь-яких запитів на виконання команд усередині операційної системи.
Ця ситуація демонструє, як сучасні інструменти пошукового просування дозволяють злочинцям маскувати небезпечні посилання під звичайні повсякденні запити. Навіть проста дія, як-от редагування фотографії, стає вектором атаки, що призводить до повного викрадення цифрової особистості. Користувачам варто пам’ятати, що після виконання шкідливої команди зловмисники отримують доступ до всіх активних сесій, що робить зміну паролів на пристроях, де відбулася помилка, першочерговим та вкрай необхідним кроком для мінімізації подальших збитків від компрометації.
