Пользователи, которые пытаются воспользоваться онлайн-инструментами для удаления фона с изображений, рискуют загрузить вредоносное программное обеспечение на свой компьютер. Исследователи из компании Huntress обнаружили, что злоумышленники используют технику поисковой оптимизации для продвижения мошеннического ресурса в верхние строчки выдачи поисковых систем. Когда пользователь открывает такой сайт, он не получает обещанной обработки изображения, а вместо этого получает запрос на выполнение технической манипуляции для подтверждения того, что он является реальным человеком, а не автоматизированным ботом.
Механизм атаки базируется на так называемой тактике ClickFix, которая заставляет жертву собственноручно инициировать заражение своего устройства. Пользователям предлагают открыть системную утилиту Windows Run, нажав клавиши Win и R, а затем скопировать и вставить предоставленную команду. Это действие запускает загрузчик под названием CastleLoader, который становится ключевым элементом для дальнейшего проникновения в систему. После успешного запуска этого кода на компьютер устанавливаются дополнительные вредоносные инструменты, предназначенные для получения полного контроля над учетной записью жертвы и её личными данными.
Одним из таких инструментов является троян удаленного доступа NetSupport RAT, который обеспечивает злоумышленникам полноценный удаленный контроль над зараженным устройством в режиме реального времени. Вместе с ним разворачивается CastleStealer — специализированное программное обеспечение на базе платформы .NET. Это вредоносное программное обеспечение целенаправленно сканирует браузеры пользователя для похищения сохраненных паролей, данных о криптовалютных кошельках, токенов Discord, а также файлов сессий Telegram, что позволяет преступникам мгновенно перехватывать доступ к большинству онлайн-сервисов жертвы.
Специалисты подчеркивают, что подобные кампании базируются на доверчивости и технической неосведомленности рядовых пользователей. Ни один легитимный онлайн-сервис не требует от клиента ввода команд в системную консоль Windows для верификации личности. Использование таких методов является однозначным признаком преступной деятельности. Для минимизации рисков администраторы компьютерных сетей имеют возможность полностью отключить функцию Win + R, хотя главной защитой остается критическое отношение к любым запросам на выполнение команд внутри операционной системы.
Эта ситуация демонстрирует, как современные инструменты поискового продвижения позволяют преступникам маскировать опасные ссылки под обычные повседневные запросы. Даже простое действие, такое как редактирование фотографии, становится вектором атаки, который приводит к полной краже цифровой личности. Пользователям стоит помнить, что после выполнения вредоносной команды злоумышленники получают доступ ко всем активным сессиям, что делает смену паролей на устройствах, где произошла ошибка, первоочередным и крайне необходимым шагом для минимизации дальнейших убытков от компрометации.
