«Вставьте это в терминал, пожалуйста». Как опытные айтишники сами пускают хакеров в систему
NewsMakerЗа что киберпреступники платят BelialDemon $15000?
Атаки с примитивной социальной инженерией снова сработали там, где многие считают себя защищёнными. В феврале 2026 года специалисты Huntress расследовали взлом, который начался с ClickFix – схемы, при которой жертву убеждают самой запустить вредоносную команду. Пользователю показывают правдоподобное сообщение и просят скопировать и вставить строку в окно «Выполнить» или терминал. Дальше он фактически сам устанавливает вредоносную программу, обходя фильтры почты и привычные средства защиты.
В этом случае ClickFix привёл к установке Matanbuchus 3.0 – платного загрузчика по модели «вредоносная программа как услуга». Его с 2021 года продвигает злоумышленник под псевдонимом BelialDemon на русскоязычных форумах. Если раньше аренда стоила 2500 долларов в месяц, то третья версия обойдётся уже в 10 000 долларов за вариант с HTTPS и 15 000 за более скрытный вариант с использованием DNS. Такая цена характерна для точечных атак на ценные цели, а не для массовых рассылок.
После заражения на компьютер незаметно устанавливался пакет MSI. Вредонос маскировался под вымышленные антивирусные продукты, распаковывал архив с помощью переименованной версии 7-Zip и использовал легитимные файлы антивируса Zillya для подгрузки своей библиотеки. Внутри находился компонент SystemStatus.dll, который и оказался Matanbuchus 3.0 .
Разработчики серьёзно усложнили анализ. Загрузчик наполняли бессмысленными вызовами системных функций и пустыми циклами, чтобы запутать исследователей и замедлить работу песочниц. Все строки шифровались алгоритмом ChaCha20. Даже ключ к следующему этапу программа подбирала перебором, проверяя расшифрованный фрагмент на совпадение с характерным кодом Heaven's Gate, который позволяет 32-разрядному процессу перейти в 64-разрядный режим и обойти перехват системных вызовов.
Атаки с примитивной социальной инженерией снова сработали там, где многие считают себя защищёнными. В феврале 2026 года специалисты Huntress расследовали взлом, который начался с ClickFix – схемы, при которой жертву убеждают самой запустить вредоносную команду. Пользователю показывают правдоподобное сообщение и просят скопировать и вставить строку в окно «Выполнить» или терминал. Дальше он фактически сам устанавливает вредоносную программу, обходя фильтры почты и привычные средства защиты.
В этом случае ClickFix привёл к установке Matanbuchus 3.0 – платного загрузчика по модели «вредоносная программа как услуга». Его с 2021 года продвигает злоумышленник под псевдонимом BelialDemon на русскоязычных форумах. Если раньше аренда стоила 2500 долларов в месяц, то третья версия обойдётся уже в 10 000 долларов за вариант с HTTPS и 15 000 за более скрытный вариант с использованием DNS. Такая цена характерна для точечных атак на ценные цели, а не для массовых рассылок.
После заражения на компьютер незаметно устанавливался пакет MSI. Вредонос маскировался под вымышленные антивирусные продукты, распаковывал архив с помощью переименованной версии 7-Zip и использовал легитимные файлы антивируса Zillya для подгрузки своей библиотеки. Внутри находился компонент SystemStatus.dll, который и оказался Matanbuchus 3.0 .
Разработчики серьёзно усложнили анализ. Загрузчик наполняли бессмысленными вызовами системных функций и пустыми циклами, чтобы запутать исследователей и замедлить работу песочниц. Все строки шифровались алгоритмом ChaCha20. Даже ключ к следующему этапу программа подбирала перебором, проверяя расшифрованный фрагмент на совпадение с характерным кодом Heaven's Gate, который позволяет 32-разрядному процессу перейти в 64-разрядный режим и обойти перехват системных вызовов.