Хакери російської воєнної розвідки почали використовувати підроблені перевірки CAPTCHA на скомпрометованих вебсайтах, аби змусити українських користувачів власноруч інфікувати свої компʼютери. Про зміну тактики угруповання Sandworm повідомила урядова команда реагування на компʼютерні надзвичайні події CERT-UA.
У звіті, оприлюдненому цього тижня, команда зазначила, що протягом весни та літа 2026 року помітила зміни в тому, як повʼязане з кремлем угруповання отримує початковий доступ до систем українських цілей.
За даними CERT-UA, зловмисники дедалі частіше застосовують різновид методу соціальної інженерії, відомий як ClickFix. Жертву спрямовують на скомпрометований сайт, де за певних умов відображається фальшива перевірка CAPTCHA, нібито призначена відрізнити людину від бота.
Замість підтвердження, що користувач — людина, йому пропонують скопіювати та виконати в терміналі PowerShell команду. Вона завантажує та зберігає в каталозі автозапуску Startup VBS-файл, який забезпечує подальше зараження; один із варіантів такої програми отримав назву GHETTOVIBE.
Ланцюжок зараження: від фейкової CAPTCHA до бекдорів
Після закріплення на компʼютері зловмисники можуть довантажити інструмент розвідки SCOUTCURL — PowerShell-сценарій, що збирає й викрадає базову інформацію про пристрій: характеристики системи, встановлені програми, файли та дані браузерів. Це допомагає атакувальникам оцінити, чи варта ціль подальшої компрометації.
Серед завантажувачів шкідливого ПЗ CERT-UA відзначає FLUIDLEECH, замаскований під програму для видалення «вірусів», і LOADLOOP. На окремих інфікованих машинах, де проводилися заходи реагування, також виявили FREAKYPOLL — бекдор, написаний мовою Python і поширюваний у вигляді скомпільованого байткоду (файли з розширенням «.pyc»).
Керуючі сервери — у блокчейні
Упродовж червня та липня CERT-UA детально проаналізувала реалізацію ClickFix більш ніж на десяти скомпрометованих вебресурсах. Окрім сервісу приховування трафіку Cloaking.House, який за певних умов підміняє вміст сторінки для відвідувача, зловмисники застосовували власний код SMARTAXE.
Особливість SMARTAXE у тому, що він отримує доменне імʼя керуючого сервера динамічно — зі смартконтракту в блокчейні, через виклик «eth_call» за заданими у коді адресою контракту та селектором функції. Такий спосіб приховування інфраструктури відомий як EtherHiding: оскільки смартконтракт незмінний і не має традиційного сервера чи домену, захисникам складно заблокувати або вилучити його, а самі запити важко відрізнити від легітимної активності в блокчейні. Кількість заражених пристроїв команда не назвала.
Окрема загроза для Android
CERT-UA окремо наголошує на шкідливому ПЗ для Android, яке під час спілкування в месенджері надсилають у вигляді APK-файлу, замаскованого під засіб захисту. Цей бекдор, кодифікований як COWARDDUCK, є повноцінним інструментом стеження: він приховано збирає та викрадає технічні характеристики пристрою, контакти, файли (зокрема з каталогів DCIM, Documents, Downloads та Pictures) і геопозицію в реальному часі.
Щоб не привертати уваги, для вивантаження файлів COWARDDUCK використовує API сервісу Dropbox, а команди й дані отримує з обʼєктів на легітимних ресурсах — наприклад, із зображень у Steam, — а звʼязок маршрутизує через проксі DuckDuckGo.
Старі методи не зникли
Попри перехід до атак через ClickFix, угруповання продовжує покладатися й на звичні прийоми. Роками одним із головних був вектор «пасивної» компрометації: поширення інсталяторів Microsoft Windows та Office із вбудованим бекдором через торент-трекери, що дозволяло непомітно заражати тих, хто завантажував піратське ПЗ.
За даними CERT-UA, щонайменше в одному випадку такий заражений компʼютер забезпечив присутність і горизонтальне переміщення в мережі організації, що створило умови для руйнівної кібератаки проти інфраструктури центрального органу виконавчої влади України.
Ще один прийом, до якого угруповання вдавалося протягом російської війни проти України, — атаки на користувачів месенджера Signal, надто на військовослужбовців, яких переконували встановити фальшивий «антивірусний захист». Запуску файлу нерідко передувала тривала комунікація, під час якої зловмисники навіть пропонували грошову винагороду за виконання інструкцій.
Для віддаленого доступу атакувальники традиційно використовували легітимні OpenSSH і Tor, перенаправляючи локальні мережеві порти (зокрема 445, 3389 і 22) на підконтрольний сервер, а також власні інструменти KALAMBUR, SUMBUR і TAMBUR. Фіксувалося й викрадення ключів і даних месенджерів Signal та WhatsApp.
Роки атак проти України
CERT-UA відстежує цю активність як кластер UAC-0145 (субкластер UAC-0002); ширше угруповання відоме як Sandworm, APT44 і Seashell Blizzard. Західні уряди та дослідники кібербезпеки повʼязують його з головним управлінням російської воєнної розвідки (ГРУ). Sandworm діє щонайменше з 2013 року й відповідальне за деякі з найгучніших руйнівних кібератак росії, зокрема удари по енергосистемі України.

