Современное киберпреступное сообщество постоянно совершенствует свои инструменты и тактики, чтобы обойти защитные меры и проникнуть в сети организаций разных направлений. Одним из ярких примеров эволюции вредоносного ПО стал недавно обнаруженный PHP-вариант трояна дистанционного доступа (RAT) Interlock, который распространяется с помощью механизма FileFix. Новый метод атаки и особенности вредоносного ПО свидетельствуют о возросшей как изощрённости, так и целенаправленности злоумышленников, что представляет значительную угрозу для множества отраслей экономики и государственных структур. Группа Interlock, ранее известная своими кибератаками и шифровальщиками, недавно начала использовать новую разновидность своего трояна — теперь созданного при помощи PHP, языка программирования, обычно применяемого для разработки веб-приложений. Ранее анализировались версии Interlock, основанные на Node.
js, однако с мая 2025 года стало известно, что вредоносный код получил серьезное обновление и начал распространяться с помощью инструмента FileFix, представляющего собой модифицированную и усовершенствованную версию известного ClickFix. FileFix стал настоящим прорывом в механизмах доставки вредоносных программ. Его суть заключается в использовании встроенных в операционную систему Windows функций, таких как адресная строка Проводника, что делает атаку более скрытой и менее заметной для пользователей и систем защиты. Вместо привычных эксплойтов FileFix задействует социальные инженерные приемы, манипулируя поведением пользователя при работе с привычными инструментами. Это позволяет киберпреступникам обойти многие традиционные системы обнаружения и не спровоцировать подозрительных действий в системе.
Атака начинается с внесения в код взломанных веб-сайтов однострочного скрипта на JavaScript, который зачастую остается незамеченным владельцами и посетителями ресурса. Этот скрипт действует как система распределения трафика, фильтруя пользователей по IP-адресам и перенаправляя их на поддельные страницы с проверками CAPTCHA. Такие уловки призваны обмануть жертву и заставить её запустить вредоносный скрипт PowerShell, который в конечном счёте приводит к внедрению Interlock RAT, активируя либо Node.js, либо PHP вариант трояна. Использование PHP-кода для реализации RAT связано с его широкой распространённостью и поддержкой на различных платформах, особенно в веб-средах.
Благодаря этому новый вариант Interlock становится более универсальным и адаптируемым под задачи злоумышленников. Вредоносное ПО выполняет сбор информации с заражённого устройства, формируя отчёты в формате JSON, проверяет права пользователя для определения уровня доступа и устанавливает постоянный контроль над системой через внесение изменений в реестр Windows, а также достигает латерального перемещения внутри корпоративной сети с использованием протокола удалённого рабочего стола (RDP). Отдельного внимания заслуживает уникальный метод сокрытия командно-контрольных (C2) серверов. Interlock использует поддомены Cloudflare Tunnel, чтобы маскировать свое местоположение и усложнить анализ сети злоумышленников. В случае падения такой инфраструктуры предусмотрена система резервных IP-адресов, что гарантирует непрерывность связи даже в условиях блокировок и контрмер.
Недавние аналитические отчёты от компаний Proofpoint, Check Point и BI.ZONE отметили, что новая PHP-версия Interlock в сочетании с FileFix поражает широкий спектр отраслей, включая государственные учреждения, образовательные организации и коммерческие компании разных масштабов. Также внимание привлекло использование SEO-отравления (SEO poisoning) для привлечения жертв, особенно пользователей криптовалютных бирж и других популярных сервисов. Злоумышленники манипулируют результатами поисковых систем, чтобы поднять вредоносные сайты в топ и увеличить вероятность перехода на них. Угроза становится еще серьезнее на фоне того, что FileFix является более скрытным при выполнении вредоносных команд по сравнению с классическим ClickFix.
Данный механизм не применяет сложные уязвимости или эксплойты, а работает через простые пользователские действия, такие как открытие Проводника Windows. В результате пользователи не испытывают типичных признаков инфицирования, что затрудняет обнаружение атаки на ранних стадиях. Одним из ключевых моментов в анализе активности Interlock является массовое применение фишинговых технологий. Киберпреступники рассылают письма с поддельными брендами и логотипами известных организаций, что повышает доверие к сообщению и увеличивает шансы на выполнение жертвой предложенных команд. После начального заражения происходит загрузка дополнительных компонентов и запуск сложных встраиваемых модулей, таких как Octowave Loader, для расширения возможностей трояна и дальнейшей компрометации систем.
Появление новых методов нападения и постоянное совершенствование инструментов Interlock говорит о серьезной эволюции данного киберугрозы. Использование PHP-среды расширяет охват целей и позволяет злоумышленникам достигать новых уровней устойчивости и скрытности. Для организаций всех масштабов важно принимать во внимание современные риски, регулярно обновлять защиты, проводить аудит безопасности и информировать сотрудников о распространённых приемах социальной инженерии, снижая вероятность успешных атак. В совокупности сегодняшние тенденции ещё раз подтверждают важность комплексного киберзащиты, учитывающей не только технические, но и поведенческие аспекты безопасности. Постоянный мониторинг активности в сети, тщательный анализ входящего трафика и своевременная реакция на инциденты способствуют сохранению стабильности и надежности информационных систем.
В мире, где киберугрозы становятся все более изощренными и незаметными, осведомленность и готовность служб безопасности играют ключевую роль в противостоянии современным атакам.
