У новому ClickFix-інциденті фальшива перевірка на сайті привела до Potemkin Loader, RMMProject та EtherRAT на понад 11 хостах. Головний ризик тут не сама сторінка з підказкою, а те, що сталося після запуску команди через вікно Windows Run: перший комп’ютер став точкою входу, зловмисник вимикав захист, а потім перейшов до ручного lateral movement у мережі.
Практичний висновок простий: якщо сайт просив натиснути Win+R, вставити команду й виконати її, пристрій треба вважати скомпрометованим, доки не перевірені автозапуск, задачі, ознаки крадіжки браузерних даних і сусідні хости.
Кого це стосується
У цьому кейсі перший заражений endpoint не мав моніторингу, тому атака встигла розгорнутися в бізнес-мережі. Для домашнього користувача lateral movement на 11 хостів менш імовірний, але стартовий ризик такий самий: фальшива CAPTCHA або “перевірка” може привести до локального loader, крадіжки облікових даних і persistence у профілі користувача.
Адміністраторам варто реагувати швидко, якщо користувач повідомляє про фейкову перевірку, якщо Defender показує раптові exclusions або вимкнення служб, або якщо той самий акаунт з’являється на кількох хостах після першого alert. У звіті описані крадіжка браузерних cookies і паролів через RMMProject, persistence EtherRAT через Run key, а також Chisel, WMIExec, SMBExec і перейменований Cloudflare tunnel на пізніших етапах.
Ознаки, які варто перевірити
| Ознака або артефакт | Що це означає |
|---|---|
Фейковий ClickFix prompt, Windows Run, pcalua.exe, mshta.exe і віддалений HTA | Це початок social engineering. Не запускайте команду повторно; збережіть історію браузера, завантаження та security alerts для перевірки. |
%LOCALAPPDATA%\Microsoft\RunSearch\RunSearch.exe і HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RunSearch | Це відповідає persistence Potemkin Loader. Він може завантажувати й запускати RMMProject у пам’яті. |
%LOCALAPPDATA%\hyper-v.ver і %TEMP%\dll_debug.log | Ці локальні файли можуть допомогти відрізнити активний loader від одноразової невдалої спроби завантаження. |
avast_update.bin, SHA-256 3b7ae925e2d64522b4f69b56285b05aeca8c5aab5ab46a9c02c4fafb69d881ce | Відновлений RMMProject DLL мав функції крадіжки browser credentials/cookies, hidden desktop і scripted tasks. |
WindowsHost у HKCU\Software\Microsoft\Windows\CurrentVersion\Run | EtherRAT може запускати Node.js loader без видимого console window. Одного видалення Run key може бути замало, якщо процес і файли залишилися. |
Задачі msiInstall2 або ekShell2, файли у C:\ProgramData\p\, спроби вимкнути Defender | Це ознаки переходу від першого loader до persistence, reverse shell і придушення захисту. |
Перейменований cloudflared, Chisel tunnels, WMIExec або SMBExec | Це вже мережевий рівень атаки. Перевіряйте не лише перший комп’ютер, а й інші хости, до яких мав доступ акаунт. |
Що робити зараз
- Не вставляйте команду повторно. Якщо користувач лише бачив фейкову сторінку, але нічого не запускав, закрийте вкладку, перевірте завантаження і browser notifications. Якщо команда виконувалась, переходьте до triage.
- Ізолюйте перший комп’ютер. Від’єднайте його від мережі або переведіть у containment VLAN. Збережіть Defender history та EDR alerts, якщо вони є.
- Перевірте user-level persistence. Подивіться Run keys для
RunSearchіWindowsHost, перегляньте%LOCALAPPDATA%,%TEMP%,C:\ProgramData\p\, а також незвичні запуски Node.js, mshta, msiexec, pcalua, PowerShell або conhost. - Окремо перевірте Defender tampering. Масові exclusions, вимкнені служби або policy changes треба ескалювати. Видиме quarantine може прибрати один payload, але loader, scheduled task, service change або крадіжка browser data можуть лишитися.
- Проскануйте систему перед поверненням у роботу. Після видалення очевидних startup entries і підозрілих файлів запустіть повне сканування. Gridinsoft Anti-Malware допоможе перевірити dropped files, автозапуск, scheduled tasks, bundled modules і пов’язані detections у Windows.
[gs_cta variant=”phishing_download” campaign=”potemkin_loader_clickfix_ua” button=”Перевірити цей Windows ПК”]
- Змінюйте паролі з чистого пристрою. Оскільки RMMProject націлювався на browser credentials і cookies, пріоритетні email, Microsoft/Google акаунти, VPN, банкінг, password manager і адмін-портали. Де можливо, відкличте активні сесії.
- У керованій мережі шукайте lateral movement. Перевірте ті самі Run keys, scheduled tasks, тунельні інструменти, remote execution artifacts і незвичні логіни на всіх хостах, до яких міг дістатися акаунт.
Для схожого сценарію з підміною довіреного сайту дивіться наш матеріал про Ghost CMS і ClickFix. Якщо користувач запускав команду з відео або інструкції, корисним буде також розбір TikTok-відео з Vidar через PowerShell.
FAQ
Potemkin Loader і ClickFix – це одне й те саме?
Ні. ClickFix – це social engineering: сторінка переконує користувача виконати команду. Potemkin Loader – це malware-компонент, який спрацював після доставки MSI.
Що, якщо я лише відкрив фейкову сторінку перевірки?
Просто побачити сторінку – не те саме, що виконати команду. Найвищий ризик починається, коли користувач відкриває Run, Terminal, CMD або PowerShell і запускає те, що дала сторінка.
Чи варто домашнім користувачам хвилюватися через 11 хостів?
Поширення на 11 хостів стосувалося бізнес-мережі, але виконана ClickFix-команда на домашньому ПК усе одно може означати крадіжку browser data або persistence на одному пристрої.
Чи достатньо видалити лише Run key?
Ні. У публічному звіті описані persistence і процеси, які можуть відновлювати записи. Спочатку завершіть підозрілі процеси, видаліть файли, задачі й Run values, проскануйте систему, перезавантажтеся і перевірте ще раз.
Джерела
- Anna Pham та Zach Rogers. “Someone’s Hands Are on Your Keyboard Then Your Whole Network. Courtesy of ClickFix, Potemkin, RMMProject and EtherRAT.” Опубліковано 16 червня 2026 року, доступ отримано 17 червня 2026 року. Звіт.
- Microsoft Security. “Think before you ClickFix: Analyzing the ClickFix social engineering technique.” Microsoft, опубліковано 21 серпня 2025 року, доступ отримано 17 червня 2026 року. Аналіз.
