Šta je ClickFix napad i kako detaljno funkcioniše?

Informatec Digital » Resursi » Šta je ClickFix napad i kako detaljno funkcioniše?

ClickFix napadi postali su jedan od najmodernijih trikova socijalnog inženjeringa. U svijetu sajber kriminala: kampanje koje izgledaju bezopasno, s lažnim upozorenjima preglednika ili sigurnosnim provjerama, ali na kraju uzrokuju da korisnik pokrene zlonamjerni kod na svom računaru, gotovo nesvjestan toga.

Daleko od toga da je tehnički kuriozitet, ClickFix je već viđen u stvarnim kampanjama u Latinskoj Americi, Evropi i drugim regijama., distribuirajući kradljivce informacija, trojance za udaljeni pristup (RAT) i složene učitavače poput GHOSTPULSE ili NetSupport RAT, pa čak i iskorištavajući TikTok videozapise ili YouTube tutorijale kako bi dosegli hiljade žrtava.

Šta je tačno ClickFix napad?

ClickFix je relativno novija tehnika socijalnog inženjeringa (popularizirana od 2024. godine) što se zasniva na nečemu vrlo jednostavnom: uvjeravanju korisnika da kopira i pokrene naredbe na vlastitom sistemu kako bi "popravio" navodni tehnički problem ili dovršio verifikaciju.

Umjesto direktnog preuzimanja zlonamjernog programa, zlonamjerna web stranica ubrizgava skriptu ili naredbu u međuspremnik. (na primjer, PowerShell u Windowsu ili MSHTA naredbe) a zatim prikazuje detaljne upute za žrtvu kako bi ga zalijepila i pokrenula u konzoli, okviru za pokretanje ili terminalu.

Ova taktika iskorištava ono što mnogi istraživači nazivaju "umorom od verifikacije"Korisnici su navikli brzo klikati na dugmad poput "Ja sam čovjek", "Popravi" ili "Ažuriraj odmah" bez previše analiziranja poruke, što ih čini vrlo ranjivima kada ekran izgleda kao Cloudflare verifikacija, Google CAPTCHA ili greška na Google Meetu ili Zoomu.

Naziv ClickFix dolazi upravo od dugmadi koja se obično nalaze na ovim mamcima.s tekstovima poput „Popravi“, „Kako popraviti“, „Ispravi odmah“ ili „Riješi problem“, koji ostavljaju utisak da korisnik primjenjuje brzo rješenje, dok u stvarnosti kopira i pokreće skriptu koja preuzima zlonamjerni softver.

Kako ClickFix napad funkcioniše korak po korak

Iako postoje mnoge varijacije, gotovo svi ClickFix napadi slijede uobičajeni redoslijed. koji kombinuje kompromitovane web stranice, zlonamjerne JavaScript skripte i "prisilnu" intervenciju korisnika za izvršavanje koda.

Prvi korak je obično posjeta legitimnoj web stranici koja je kompromitovana ili direktno zlonamjernoj stranici., do kojeg žrtva dolazi putem linka u phishing e-poruci, manipuliranih rezultata pretraživača (zlonamjerni SEO), zlonamjernih oglasa ili čak putem TikTok ili YouTube videa s navodnim trikovima za aktiviranje plaćenog softvera.

Ta stranica prikazuje lažno upozorenje ili verifikaciju koja simulira tehnički problem.: greška pri učitavanju dokumenta, neuspjeh ažuriranja preglednika, problemi s mikrofonom ili kamerom u Google Meet/Zoomu ili navodna anti-bot provjera poput Cloudflarea ili reCAPTCHA-e koja vas sprječava da nastavite osim ako nešto nije "popravljeno".

Čim korisnik pritisne dugme "tačno" ili označi polje "Ja sam čovjek"JavaScript skripta automatski ubrizgava zlonamjernu naredbu u međuspremnik, obično maskiranu PowerShell ili MSHTA naredbu koja će zatim preuzeti drugi zlonamjerni softver sa udaljenog servera.

Web stranica prikazuje detaljan vodič za žrtvu kako izvršiti tu naredbu., na primjer:

• Kliknite na dugme „Popravi“ da biste „kopirali kod rješenja“.
• Pritisnite tipke Win+R da biste otvorili prozor Run na Windows-u.
• Pritisnite Ctrl+V da zalijepite ono što je u međuspremniku (zlonamjerna naredba).
• Pritisnite Enter da biste "riješili problem" ili nastavili s verifikacijom.

U naprednijim varijacijama, trik se izvodi pomoću Win+X ili konzole preglednika.Korisniku se daje instrukcija da otvori PowerShell terminal s administratorskim privilegijama iz brzog menija (Win+X) ili da koristi konzolu preglednika (F12 ili Ctrl+Shift+I) i tamo zalijepi blok JavaScript koda ili funkciju "verifikacije".

Nakon što se naredba izvrši, ostatak infekcije se razvija u pozadini.Skripta preuzima druge dijelove sa komandnih i kontrolnih (C2) servera, dekomprimira datoteke, izvršava zlonamjerne DLL-ove bočnim učitavanjem i na kraju instalira infostealere ili RAT-ove u memoriju ili na disk.

Zašto je ClickFix tako teško otkriti

Jedna od velikih prednosti ClickFixa za napadače je ta što zaobilazi mnoge tradicionalne sigurnosne barijere.jer se čini da lanac infekcije počinje od samog korisnika, a ne od preuzete datoteke ili klasičnog exploita.

Nije nužno da se radi o sumnjivom prilogu ili izvršnoj datoteci preuzetoj direktno iz preglednika.To znači da mnogi filteri e-pošte, blokatori preuzimanja i provjere reputacije URL-ova ne vide ništa očito zlonamjerno u toj prvoj fazi.

Komanda se izvršava iz "pouzdane ljuske" sistema, kao što su PowerShell, cmd.exe ili konzola preglednika.Ovo daje zlonamjernom softveru privid legitimne aktivnosti i komplikuje rad antivirusnih programa zasnovanih na potpisima i nekih sigurnosnih rješenja koja nisu baš dobra u analizi ponašanja.

Sigurnosni proizvodi obično detektuju prijetnju nakon što je korisni teret već izvršen. ili pokušava integrirati se u zaštićene procese, modificirati kritične datoteke poput hosts datoteke, uspostaviti perzistenciju ili komunicirati sa C2 serverom; to jest, u fazi nakon eksploatacije.

Do tada, napadač je možda stekao značajan pristup sistemu.: povećanje privilegija, krađa akreditiva, lateralno kretanje kroz korporativnu mrežu ili čak pokušaj onemogućavanja antivirusnog programa i drugih slojeva odbrane.

Gdje se ClickFix vidi u praksi: uobičajeni kanali i mamci

Istrage raznih sigurnosnih laboratorija pokazale su da se ClickFix koristi u širokom spektru kampanja., namijenjen i kućnim korisnicima i kompanijama u kritičnim sektorima.

Napadači se često oslanjaju na ove kanale kako bi primijenili svoje ClickFix mamce.:

• Legitimne web stranice kompromitirane, u koje ubrizgavaju JavaScript okvire poput ClearFakea kako bi prikazali lažne obavijesti o ažuriranjima ili verifikacijama.
• Zlonamjerno oglašavanje (zlonamjerno oglašavanje)posebno baneri i sponzorirani oglasi koji preusmjeravaju na lažne stranice za preuzimanje softvera ili validaciju preglednika.
• Tutorijali i videozapisi na YouTubeu ili TikToku, s navodnim trikovima za besplatno aktiviranje softvera ili otključavanje premium funkcija.
• Lažni forumi za tehničku podršku i web stranice koje imitiraju portale za pomoć, gdje se "preporučuje" pokretanje naredbi za ispravljanje sistemskih grešaka.

U Latinskoj Americi već su dokumentovani slučajevi u kojima su zvanične i univerzitetske web stranice bile kompromitovane.Na primjer, web stranica Škole industrijskog inženjerstva na Katoličkom univerzitetu u Čileu ili web stranica Policijskog stambenog fonda Perua, koja je na kraju svojim posjetiteljima prikazivala ClickFix tokove.

Američke sigurnosne agencije upozorile su na kampanje usmjerene na korisnike koji traže igre, PDF čitače, Web3 preglednike ili aplikacije za razmjenu porukaSve se ovo postiže iskorištavanjem svakodnevnih pretraga za preusmjeravanje na stranice koje implementiraju ClickFix.

Također su uočene kampanje koje se oslanjaju na navodne stranice Google Meet, Zoom, DocuSign, Okta, Facebook ili Cloudflare., gdje se prikazuje greška preglednika ili CAPTCHA verifikacija, prisiljavajući korisnika da prati redoslijed kopiranja i izvršavanja naredbi.

Najčešći zlonamjerni softver koji se distribuira putem ClickFixa

ClickFix rijetko je jedini dio napadaObično je to jednostavno početni vektor koji omogućava implementaciju višestepenog lanca infekcije sa širokim spektrom zlonamjernog softvera.

Među najistaknutijim porodicama koje su uočene u nedavnim kampanjama su:

• Infostealeri poput Vidara, Lumme, Stealca, Danabota, Atomic Stealera ili Odyssey Stealera, specijaliziran za krađu podataka za preglednik, kolačića, podataka za automatsko popunjavanje, kriptovalutnih novčanika, VPN i FTP podataka itd.
• RAT-ovi (trojanci za udaljeni pristup) kao što su NetSupport RAT ili ARECHCLIENT2 (SectopRAT)koji omogućavaju napadačima da kontrolišu sistem, izvršavaju naredbe, kradu informacije i pokreću sljedeće faze, uključujući ransomware.
• Napredni programi za učitavanje kao što su GHOSTPULSE, Latrodectus ili ClearFakekoji djeluju kao ljepilo, preuzimajući, dešifrirajući i učitavajući sljedeće dijelove u memoriju, često s vrlo složenim slojevima obfuskacije i šifriranja.
• Alati za krađu finansijskih i korporativnih informacija, koji izdvajaju podatke iz obrazaca, email klijenata, aplikacija za razmjenu poruka i poslovnih aplikacija.

U aktivnim kampanjama tokom 2024. i 2025. godine, ClickFix je viđen kako hrani složene lance.Na primjer, ClickFix mamac koji pokreće PowerShell preuzima ZIP datoteku koja sadrži legitimnu izvršnu datoteku (kao što je Java jp2launcher.exe) i zlonamjerni DLL, te putem bočnog učitavanja na kraju pokreće NetSupport RAT na računaru.

Drugi uobičajeni slučaj je korištenje MSHTA-e sa zamaskiranim URL-ovima ka domenama poput iploggerco., koji imitiraju legitimne servise za skraćivanje ili registraciju IP adresa; odatle se preuzima PowerShell skripta kodirana u Base64 koja na kraju oslobađa Lumma Stealer stagere ili slične.

Studije slučaja iz stvarnog života i istaknute kampanje s ClickFixom

Izvještaji nekoliko timova za odgovor na incidente i sigurnosnih laboratorija identificirali su više vrlo aktivnih kampanja koje se vrte oko ClickFixa kao ulazne tačke.

U poslovnom sektoru, značajan uticaj je uočen u sektorima kao što su napredna tehnologija, finansijske usluge, proizvodnja, maloprodaja i veleprodaja, javna uprava, profesionalne i pravne usluge, energetika i komunalne usluge, između ostalog.

U kampanji iz maja 2025. godine, napadači su koristili ClickFix za implementaciju NetSupport RAT-a. putem lažnih stranica koje su se predstavljale kao DocuSign i Okta, iskorištavajući infrastrukturu povezanu s ClearFake okvirom za ubrizgavanje JavaScripta koji je manipulirao međuspremnikom.

Tokom marta i aprila 2025. godine, dokumentovan je porast prometa ka domenama koje kontroliše porodica Latrodectus., koji je počeo koristiti ClickFix kao početnu tehniku ​​pristupa: kompromitovani portal preusmjeravao je na lažnu verifikaciju, žrtva je pokretala PowerShell iz Win+R i to je preuzelo MSI koji je ispustio zlonamjerni DLL libcef.dll.

Paralelno s tim, otkrivene su kampanje tiposquattinga povezane s Lumma Stealerom.U ovim napadima, od žrtava se tražilo da izvrše MSHTA naredbe koje su ukazivale na domene koje imitiraju iplogger; ove naredbe su preuzimale jako obfusirane PowerShell skripte koje su na kraju dekompresovale pakete sa izvršnim datotekama kao što su PartyContinued.exe i CAB sadržaj (Boat.pst) kako bi postavile AutoIt skriptni mehanizam odgovoran za pokretanje konačne verzije Lumme.

Elastic Security Labs je također opisao kampanje u kojima ClickFix služi kao početna udica za GHOSTPULSE.koji zauzvrat učitava posrednički .NET loader i konačno ubrizgava ARECHCLIENT2 u memoriju, zaobilazeći mehanizme poput AMSI-ja putem kačenja i naprednog maskiranja.

U areni krajnjih korisnika, nekoliko dobavljača je prikazalo pojednostavljene primjere ClickFix napada. u kojem stranica za „ažuriranje preglednika“ ili lažni CAPTCHA tiho kopira skriptu u međuspremnik, a zatim prisiljava korisnika da je zalijepi u PowerShell s administratorskim privilegijama, što olakšava povezivanje s C2 infrastrukturom i preuzimanje izvršnih datoteka koje mijenjaju sistem.

Jedan posebno zabrinjavajući fenomen je dolazak ClickFixa na TikTok.Videozapisi generirani čak i uz pomoć umjetne inteligencije promoviraju "jednostavne metode" za aktiviranje besplatnih plaćenih verzija sustava Office, Spotify Premium ili programa za uređivanje, ali u stvarnosti navode korisnike da kopiraju i lijepe zlonamjerne naredbe koje instaliraju programe za kradljivce informacija poput Vidara ili Stealca.

Kako analitičari otkrivaju infekcije ClickFixom

Iako korisniku može izgledati kao crna magija, infekcije ClickFixom ostavljaju tehnički trag. koje timovi za lov na prijetnje i EDR-ovi mogu koristiti za otkrivanje incidenta.

U Windows okruženjima, jedna od tačaka analize je ključ registra RunMRU., koji pohranjuje nedavno izvršene naredbe iz prozora Pokreni (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analitičari pregledavaju ove unose tražeći sumnjive obrasce.Obfusirane komande, korištenje PowerShella ili MSHTA-e s neobičnim URL-ovima, pozivi nepoznatim domenama ili reference na administrativne alate koje običan korisnik obično ne koristi.

Kada napadači koriste varijantu Win+X (meni za brzi pristup) za pokretanje PowerShella ili komandne linijeTrag se nalazi u telemetriji procesa: događaji kreiranja procesa (kao što je ID 4688 u sigurnosnom zapisniku Windowsa) gdje explorer.exe pokreće powershell.exe odmah nakon pritiska na Win+X.

Korelacija s drugim događajima, kao što je pristup mapi %LocalAppData%\Microsoft\Windows\WinX\ ili sumnjive mrežne veze nakon tog izvršavanjaOvo pomaže u opisivanju tipičnog ponašanja ClickFix infekcije, posebno ako se procesi poput certutil.exe, mshta.exe ili rundll32.exe pojave odmah nakon toga.

Drugi vektor detekcije je zloupotreba međuspremnikaNapredna rješenja za filtriranje URL-ova i DNS sigurnost mogu identificirati JavaScript koji pokušava ubrizgati zlonamjerne naredbe u međuspremnik, što služi za blokiranje stranice prije nego što korisnik završi sekvencu.

Šta napadači pokušavaju postići tehnikom ClickFix?

Iza sveg ovog društvenog inženjeringa krije se jasan cilj: ostvarivanje ekonomske koristi od ukradenih informacija., kako od pojedinačnih korisnika, tako i od organizacija.

Infostealeri implementirani putem ClickFixa dizajnirani su za prikupljanje vjerodajnica, kolačića i osjetljivih podataka. pohranjeni u preglednicima, klijentima e-pošte, korporativnim aplikacijama ili kriptovalutnim novčanicima, kao i interni dokumenti i financijski podaci.

S tim materijalom, zlonamjerni akteri mogu izvršiti više kriminalnih aktivnosti:

• Kompanije za iznuduprijetnja odavanjem povjerljivih informacija o organizaciji ili njenim klijentima.
• Počiniti direktnu finansijsku prevaru iskorištavanjem kompromitiranih bankovnih računa, online sistema plaćanja ili kripto novčanika.
• Lažno predstavljanje kompanije ili njenih zaposlenika za izvršavanje prevara protiv trećih strana, kao što su tipične prevare generalnih direktora ili napadi na BEC.
• Prodaja akreditiva i paketa podataka na dark webu koje će druge kriminalne grupe koristiti u budućim napadima.
• Za obavljanje industrijske ili geopolitičke špijunaže kada je cilj određena organizacija ili strateški sektor.

U mnogim dokumentovanim kampanjama, ClickFix je bio samo prvi korak ka većim napadima.uključujući implementacija ransomware-a nakon krađe akreditiva, produženog pristupa korporativnim mrežama ili korištenja kompromitovane infrastrukture kao odskočne daske za druge ciljeve.

Kako se korisnici i kompanije mogu zaštititi od ClickFixa?

Odbrana od ClickFixa kombinuje tehnologiju, najbolje prakse i mnogo svijesti.jer slaba karika koju ova tehnika iskorištava je upravo ponašanje korisnika.

Na individualnom nivou, postoji nekoliko vrlo jednostavnih zlatnih pravila koji znatno smanjuju rizik od pada:

• Nikada ne lijepite kod u konzolu (PowerShell, cmd, terminal, konzolu preglednika) samo zato što vas to traži web stranica.koliko god to legitimno izgledalo.
• Budite oprezni s Cloudflare verifikacijama, CAPTCHA-ama ili stranicama za "ažuriranje preglednika" koje traže čudne korake. više od klika na okvir ili dugme.
• Održavajte svoj preglednik, operativni sistem i aplikacije uvijek ažurnimInstaliranje zakrpa iz službenih izvora, a ne sa slučajnih banera ili iskačućih prozora.
• Aktivirajte dvofaktorsku autentifikaciju (2FA) na važnim računima, kako bi otežali život napadačima čak i ako uspiju ukrasti lozinku.

U korporativnom okruženju, pored ovih preporuka, kompanije bi trebale ići korak dalje i da se ClickFixu pozabave kao specifičnom prijetnjom unutar svoje sigurnosne strategije.

Neke ključne mjere za organizacije su:

• Ograničite upotrebu alata za izvršavanje naredbi (PowerShell, cmd, MSHTA) putem grupnih politika, kontrolnih lista aplikacija ili EDR konfiguracija, tako da ih koriste samo tehnički profili i da se aktivnost uvijek evidentira.
• Implementirajte moderna antimalware i EDR rješenja sa mogućnostima detekcije zasnovanim na ponašanju, sposobni da identifikuju sumnjive obrasce izvršavanja čak i kada korisnik interveniše.
• Pratite mrežni promet i odlazne veze prema domenama sa lošom reputacijomposebno prema servisima za skraćivanje URL-ova, novoregistrovanim domenama ili neobičnim TLD-ovima.
• Periodično pregledajte artefakte kao što su RunMRU, PowerShell logovi i sigurnosni događaji za otkrivanje indikatora zloupotrebe Win+R, Win+X ili administratorskih konzola.

Osnovni stub je kontinuirana i realistična obuka osobljaTeorijski kurs nije dovoljan; korisno je provesti kontrolirane testove socijalnog inženjeringa koji simuliraju kampanje tipa ClickFix, prevare direktora, napredni phishing ili zlonamjerno oglašavanje.

Ove simulacije nam omogućavaju da izmjerimo nivo zrelosti radne snage u odnosu na ove tehnike.Prilagodite strategiju podizanja svijesti, identificirajte područja većeg rizika i ojačajte kulturu "stanite i razmislite" prije nego što slijedite sumnjive upute na web stranici ili u e-poruci.

Nadalje, ključno je da kompanije budu spremne brzo reagovati na incidentImati jasne planove za odgovor, specijalizirane timove ili pružatelje usluga, te dobro definirane procese suzbijanja i iskorjenjivanja za slučajeve kada se otkrije mogući slučaj ClickFixa ili bilo koji drugi vektor kompromitiranja.

Širenje tehnike ClickFix jasno pokazuje da su napadači pronašli vrlo efikasan način da korisnika pretvore u nesvjesnog saučesnika.I ne ustručavaju se da ga kombinuju sa sofisticiranim zlonamjernim softverom, dinamičnom C2 infrastrukturom i masovnim kampanjama na društvenim mrežama ili pretraživačima; razumijevanje kako funkcioniše, prepoznavanje njegovih signala i jačanje i tehnologije i edukacije korisnika danas čini razliku između pretrpljenja ozbiljnog propusta i pravovremenog prekidanja napada.