17 Ноября 2025 17:08 17 Ноя 2025 17:08 |

Поделиться

Хакеры вспомнили древнюю технологию, которая старше, чем Linux. Ее используют для взлома Windows

Мумия ожила

Киберпреступники начали применять очень старые технологии для взлома современных ПК. Как пишет Bleeping Computer, они прознали про существование команды Finger для запуска одноименного протокола и теперь используют ее в своих целях.

Этот протокол появился 40 лет назад, то есть он старше, чем Linux, который вышел в 1991 г. Первоначально она применялась в Unix-серверах, а позже перекочевал и в Windows, но был благополучно забыт на десятилетия.

Finger нужен для получения данных об имени учетной записи пользователя, сведений о расположении домашнего каталога, имени пользователя, номера телефона, времени его последнего посещения и другой базовой информации, пишет Bleeping Computer.

Хакеры стали применять Finger в атаках из серии ClickFix. Под ними подразумевается подталкивание пользователя к самостоятельному запуску вредоносного ПО, которое часто замаскировано под что-либо безобидное. Очень часто его скрывают под кнопкой прохождения капчи.

Проблема существует

На то, что хакеры увлеклись технологиями, которые существовали, когда многие из них еще родились, прямо указывают специалисты ИБ-команды MalwareHunterTeam. В ее распоряжении оказался исполняемый файл, который обращался к удаленному серверу именно через протокол Finger и передавал полученный вывод непосредственно в командную строку для выполнения.

В MalwareHunterTeam подчеркнули, что сервер, к которому обращался файл, уже недоступен, но отметили, что это лишь один из примеров использования Finger в атаках ClickFix.

Пользователи тоже прознали, что против них развернута новая кампания по распространению вредоносного ПО. Bleeping Computer приводит в пример сообщение пользователя Reddit под псевдонимом Primary-Loquat9023, в котором он сетует, что попался на удочку с капчей и ClickFix.

Пост Primary-Loquat9023 датирован 10 ноября 2025 г. В нем сказано, что пользователь столкнулся с поддельной капчей, которая требовала ввести запрос в командной строке для прохождения теста на робота.

Команда, которую было предложено запустить, приводила к старту finger-запроса к удаленному серверу и передавала полученный вывод через командный процессор Windows cmd.exe.

Последствия невнимательности

Команда создавала временную папку, куда копировала системный файл curl.exe под случайным именем. curl.exe – это командная утилита для передачи данных через сетевые протоколы.

В ту же папку загружался небольшой архив, замаскированный под PDF-файл. Команда извлекала из него несколько программ на языке Python. Затем они затем запускались через pythonw.exe (исполняемый файл, связанный Python, разработан Python Software Foundation). После этого выполнялся обратный вызов на сервер злоумышленника для подтверждения выполнения, при этом пользователю на экран выводилось поддельное сообщение «Подтвердите, что вы человек».

Как пишет Bleeping Computer, содержимое архива с Python-программами явным образом указывает, что вся атака проводится с целью кражи пользовательской информации. Судя по всему, случай пользователя Primary-Loquat9023 не единичный, поскольку эксперты MalwareHunterTeam в ноябре 2025 г. выявили аналогичную атаку, но с немного другим набором действий.

В частности, загружаемое на ПК пользователя Python-ПО запускало скрипт проверки на наличие в системе утилит анализа вредоносных программ. Если такой софт выявлялся, атака автоматически прекращалась. В случае его отсутствия скрипт скачивал и распаковывал дополнительный архив, тоже замаскированный под файл PDF. В нем были пакет удаленного администрирования NetSupport Manager и скрипт настройки планировщика задач для автоматического запуска удаленного доступа.

Специалисты BleepingComputer полагают, что за атаками с использованием протокола Finger стоит одна группировка. Успех таких атак они объясняют именно древностью самой команды, про которую многие давно забыли, а большинство вообще не знали.

Геннадий Ефремов

Поделиться

Короткая ссылка