Новая вредоносная программа Mocha Manakin развертывает NodeInitRAT через атаку Clickfix

Новая и тревожная киберугроза, получившая название Mocha Manakin, была обнаружена исследовательской фирмой по кибербезопасности Red Canary. Впервые отслеженная в январе 2025 года, эта угроза уникальным образом сочетает в себе социальную инженерию, обманывающую людей, со специально созданным вредоносным программным обеспечением.

Mocha Manakin использует обманную тактику, называемую вставкой и запуском (также известную как Clickfix или fakeCAPTCHA ). Этот метод обманывает пользователей компьютеров, заставляя их неосознанно копировать и запускать вредоносные команды, часто замаскированные под шаги по исправлению доступа к документу или доказательству того, что они человек.

Эти поддельные инструкции обходят регулярные проверки безопасности, что позволяет вредоносному скрипту легко загружать на компьютер жертвы другие вредоносные программы. С августа 2024 года Red Canary наблюдает рост атак типа «вставить и запустить» из-за их эффективности в обмане пользователей.

Согласно техническому сообщению в блоге компании, Mocha Manakin отличается от других вредоносной программой, которую она поставляет: бэкдор на основе NodeJS под названием NodeInitRAT. Как только пользователь попадает под уловку «вставить и запустить», выполняется команда PowerShell для загрузки файла .zip, который затем сохраняется во временной папке пользователя, обычно C:\Users\ \AppData\Local\Temp\ .

Этот .zip-архив содержит легитимную программу node.exe. Затем PowerShell использует этот node.exe для запуска вредоносного кода NodeInitRAT, передавая его напрямую через командную строку.

После установки NodeInitRAT может тайно собирать конфиденциальную сетевую информацию, выполнять любые команды, которые ему дадут, и развертывать более вредоносное программное обеспечение. Этот пользовательский бэкдор взаимодействует со своими контроллерами через Интернет, часто используя легитимные туннели Cloudflare для сокрытия своей активности.

По состоянию на май 2025 года Red Canary не видела, чтобы Mocha Manakin напрямую приводил к вымогательству. Однако, основываясь на его возможностях и связях с деятельностью вымогателя Interlock , обнаруженной Sekoia.io , Red Canary с умеренной уверенностью полагает, что неостановленные заражения Mocha Manakin, вероятно, могут привести к атакам вымогателей. Эта связь вызывает беспокойство, подчеркивая серьезный потенциал для шифрования данных и финансовых требований.

Red Canary рекомендует организациям обучать своих сотрудников тактике вставки и запуска, обучая их не следовать неожиданным инструкциям, которые просят их копировать и вставлять команды в свою систему. Мониторинг необычного поведения компьютера также имеет решающее значение. Если обнаружен NodeInitRAT, немедленно остановите активные процессы node.exe, запускающие вредоносное ПО. Вредоносный код также может существовать в скрытых файлах (например, в AppData\Roaming ) или в записях реестра Windows, которые следует удалить, чтобы предотвратить повторное выполнение вредоносного ПО.

Для защиты сети блокировка связи с известными вредоносными доменами, используемыми NodeInitRAT, может помешать ему подключиться к своим контроллерам. Технические группы также могут настроить правила обнаружения для обнаружения команд PowerShell, которые используют invoke-expression и invoke-restmethod , что является типичными признаками первоначального заражения Mocha Manakin. Оставаясь начеку и внедряя эти защитные меры, организации могут значительно снизить риск от этой растущей угрозы.