Co je útok ClickFix a jak podrobně funguje?

Informatec Digital » Zdroje » Co je útok ClickFix a jak podrobně funguje?

Útoky ClickFix se staly jedním z nejmódnějších triků sociálního inženýrství. Ve světě kyberkriminality: kampaně, které se zdají být neškodné, s falešnými varováními prohlížeče nebo bezpečnostními kontrolami, ale nakonec způsobí, že uživatel spustí na svém počítači škodlivý kód, téměř aniž by si to uvědomoval.

ClickFix zdaleka není technickou kuriozitou, ale již byl spatřen v reálných kampaních v Latinské Americe, Evropě a dalších regionech., distribuce infostealerů, trojských koní pro vzdálený přístup (RAT) a komplexních zavaděčů, jako je GHOSTPULSE nebo NetSupport RAT, a dokonce i využívání videí z TikToku nebo tutoriálů na YouTube k oslovení tisíců obětí.

Co přesně je útok ClickFix?

ClickFix je relativně nová technika sociálního inženýrství (popularizovaná od roku 2024) což je založeno na něčem velmi jednoduchém: přesvědčit uživatele, aby zkopíroval a spustil příkazy na svém vlastním systému, aby „opravil“ údajný technický problém nebo dokončil ověření.

Místo přímého stažení škodlivého programu vloží škodlivý web do schránky skript nebo příkaz. (například PowerShell ve Windows nebo příkazy MSHTA) a poté zobrazí oběti podrobné pokyny, jak jej vložit a spustit v konzoli, okně Spustit nebo terminálu.

Tato taktika zneužívá to, co mnoho výzkumníků nazývá „únavou z ověřování“Uživatelé jsou zvyklí rychle klikat na tlačítka jako „Jsem člověk“, „Opravit“ nebo „Aktualizovat nyní“, aniž by zprávu příliš analyzovali, což je činí velmi zranitelnými, když obrazovka vypadá jako ověření Cloudflare, Google CAPTCHA nebo chyba Google Meet či Zoom.

Název ClickFix pochází právě z knoflíků, které se na těchto nástrahách obvykle objevují.s texty jako „Opravit“, „Jak opravit“, „Opravit nyní“ nebo „Vyřešit problém“, které vyvolávají dojem, že uživatel používá rychlé řešení, ale ve skutečnosti kopíruje a spouští skript stahující malware.

Jak funguje útok ClickFix krok za krokem

Ačkoli existuje mnoho variant, téměř všechny útoky ClickFix se řídí společnou sekvencí. který kombinuje napadené webové stránky, škodlivé JavaScriptové skripty a „vynucený“ zásah uživatele ke spuštění kódu.

Prvním krokem je obvykle návštěva legitimní webové stránky, která byla napadena, nebo přímo škodlivé stránky., na který se oběť dostane přes odkaz v phishingovém e-mailu, zmanipulované výsledky vyhledávání (škodlivé SEO), škodlivé reklamy nebo dokonce z videa na TikToku či YouTube s údajnými triky k aktivaci placeného softwaru.

Tato stránka zobrazuje falešné varování nebo ověření, které simuluje technický problém.: chyba při načítání dokumentu, selhání aktualizace prohlížeče, problémy s mikrofonem nebo kamerou v Google Meet/Zoom nebo údajná antibotová kontrola jako Cloudflare nebo reCAPTCHA, která vám brání v pokračování, dokud není něco „opraveno“.

Jakmile uživatel stiskne tlačítko „správně“ nebo zaškrtne políčko „Jsem člověk“JavaScriptový skript automaticky vloží do schránky škodlivý příkaz, obvykle obfuskovaný příkaz PowerShellu nebo MSHTA, který poté stáhne další malware ze vzdáleného serveru.

Webová stránka zobrazuje podrobný návod, jak oběť provést daný příkaz., například:

• Klikněte na tlačítko „Opravit“ a zkopírujte kód řešení..
• Stisknutím kláves Win+R otevřete okno Spustit na Windows.
• Stisknutím kláves Ctrl+V vložíte obsah schránky. (zlomyslný příkaz).
• Stiskněte klávesu Enter pro „opravu problému“ nebo pokračujte v ověřování..

V pokročilejších variantách se trik provádí pomocí Win+X nebo pomocí konzole prohlížeče.Uživatel je instruován, aby otevřel terminál PowerShellu s oprávněními správce z rychlé nabídky (Win+X) nebo použil konzoli prohlížeče (F12 nebo Ctrl+Shift+I) a vložil tam blok kódu JavaScript nebo „ověřovací“ funkci.

Po provedení příkazu se zbytek infekce vyvíjí na pozadí.Skript stahuje další části ze serverů velení a řízení (C2), dekomprimuje soubory, spouští škodlivé knihovny DLL jejich načítáním z jiných zdrojů a nakonec instaluje infostealery nebo RATy do paměti nebo na disk.

Proč je ClickFix tak těžké odhalit

Jednou z velkých výhod ClickFixu pro útočníky je, že obchází mnoho tradičních bezpečnostních bariér.protože se zdá, že řetězec infekce začíná u samotného uživatele a ne od staženého souboru nebo klasického zneužití.

Nemusí se nutně jednat o podezřelou přílohu nebo spustitelný soubor stažený přímo z prohlížeče.To znamená, že mnoho e-mailových filtrů, blokovačů stahování a kontrol reputace URL v této první fázi nevidí nic zjevně škodlivého.

Příkaz se spouští z „důvěryhodného shellu“ systému, jako je PowerShell, cmd.exe nebo konzole prohlížeče.To dává malwaru zdání legitimní aktivity a komplikuje práci antivirových programů založených na signaturách a některých bezpečnostních řešení, která nejsou příliš dobrá v behaviorální analýze.

Bezpečnostní produkty obvykle detekují hrozbu až po provedení datové zátěže. nebo se pokouší o integraci do chráněných procesů, úpravu kritických souborů, jako je soubor hosts, navázání perzistence nebo komunikaci se serverem C2; tedy ve fázi po zneužití.

Do té doby mohl útočník získat významný přístup k systému.: zvyšování oprávnění, krádež přihlašovacích údajů, laterální pohyb v rámci podnikové sítě nebo dokonce pokus o deaktivaci antiviru a dalších vrstev obrany.

Kde se ClickFix uplatňuje v praxi: běžné kanály a lákadla

Vyšetřování různých bezpečnostních laboratoří ukázala, že ClickFix se používá v široké škále kampaní., zaměřený jak na domácí uživatele, tak na firmy v kritických odvětvích.

Útočníci se často spoléhají na tyto kanály k nasazení svých lákadel ClickFix.:

• Napadení legitimních webových stránek, do kterých vkládají JavaScriptové frameworky jako ClearFake k zobrazení falešných oznámení o aktualizacích nebo ověření.
• Škodlivá reklama (malvertising)zejména bannery a sponzorované reklamy, které přesměrovávají na falešné stránky pro stahování softwaru nebo ověřování prohlížeče.
• Návody a videa na YouTube nebo TikToku, s údajnými triky, jak aktivovat software nebo odemknout prémiové funkce zdarma.
• Falešná fóra technické podpory a webové stránky, které napodobují portály nápovědy, kde se „doporučuje“ spouštět příkazy k opravě systémových chyb.

V Latinské Americe již byly zdokumentovány případy napadení oficiálních webových stránek a webových stránek univerzit.Například webové stránky Fakulty průmyslového inženýrství na Katolické univerzitě v Chile nebo webové stránky Peruánského fondu pro policejní bydlení, které svým návštěvníkům nakonec zobrazovaly postupy ClickFix.

Americké bezpečnostní agentury varovaly před kampaněmi zaměřenými na uživatele, kteří hledají hry, čtečky PDF, prohlížeče Web3 nebo aplikace pro zasílání zpráv.To vše se děje využitím každodenních vyhledávání k přesměrování na stránky, které implementují ClickFix.

Byly také pozorovány kampaně, které se spoléhají na údajné stránky Google Meet, Zoom, DocuSign, Okta, Facebook nebo Cloudflare., kde se zobrazí chyba prohlížeče nebo ověření CAPTCHA, což uživatele nutí dodržovat pořadí kopírování a provádění příkazů.

Nejběžnější malware distribuovaný pomocí ClickFixu

ClickFix je zřídka jediným nástrojem útoku.Obvykle se jedná pouze o počáteční vektor, který umožňuje nasazení vícestupňového infekčního řetězce s širokou škálou malwaru.

Mezi nejvýznamnější rodiny pozorované v nedávných kampaních patří:

• Informační zloději jako Vidar, Lumma, Stealc, Danabot, Atomic Stealer nebo Odyssey Stealer, specializující se na krádeže přihlašovacích údajů prohlížeče, souborů cookie, dat automatického vyplňování, kryptoměnových peněženek, přihlašovacích údajů VPN a FTP atd.
• RATy (trojanské koně pro vzdálený přístup), jako například NetSupport RAT nebo ARECHCLIENT2 (SectopRAT)které útočníkům umožňují ovládat systém, provádět příkazy, získávat informace a spouštět následné fáze, včetně ransomwaru.
• Pokročilé načítače jako GHOSTPULSE, Latrodectus nebo ClearFakekteré fungují jako lepidlo, stahují, dešifrují a načítají následující části do paměti, často s velmi propracovanými vrstvami zmatku a šifrování.
• Nástroje pro krádež finančních a firemních informací, které extrahují data z formulářů, e-mailových klientů, systémů pro zasílání zpráv a obchodních aplikací.

V aktivních kampaních v letech 2024 a 2025 bylo vidět, že ClickFix zásobuje složité řetězce.Například návnada ClickFix, která spouští PowerShell, stáhne soubor ZIP obsahující legitimní spustitelný soubor (například Java jp2launcher.exe) a škodlivou knihovnu DLL a prostřednictvím bočního načítání nakonec na počítači spustí NetSupport RAT.

Dalším častým případem je použití MSHTA s obfuskovanými URL adresami domén, jako je iploggerco., které napodobují legitimní služby pro zkracování nebo registraci IP adres; odtud se stáhne PowerShellový skript kódovaný v Base64, který nakonec uvolní stagery Lumma Stealer nebo podobné.

Případové studie z reálného života a doporučené kampaně s ClickFixem

Zprávy od několika týmů pro reakci na incidenty a bezpečnostních laboratoří identifikovaly několik vysoce aktivních kampaní. které se točí kolem ClickFixu jako vstupního bodu.

V podnikatelském sektoru byl zaznamenán znatelný dopad v odvětvích, jako je pokročilé technologie, finanční služby, výroba, maloobchod a velkoobchod, veřejná správa, odborné a právní služby, energetika a veřejné služby a mnoho dalších.

V kampani z května 2025 útočníci použili ClickFix k nasazení NetSupport RAT. prostřednictvím falešných stránek, které se vydávaly za DocuSign a Okta a využívaly infrastrukturu spojenou s frameworkem ClearFake k vkládání JavaScriptu, který manipuloval se schránkou.

Během března a dubna 2025 byl zdokumentován nárůst provozu na domény ovládané rodinou Latrodectus., která začala používat ClickFix jako počáteční přístupovou techniku: napadený portál přesměroval na falešné ověření, oběť spustila PowerShell z Win+R a ten stáhl MSI soubor, který uvolnil škodlivou DLL libcef.dll.

Souběžně byly zjištěny kampaně s typosquattingem spojené s Lumma Stealer.V těchto útocích byly oběti požádány o spuštění příkazů MSHTA, které odkazovaly na domény napodobující iplogger. Tyto příkazy stahovaly silně obfuskované skripty PowerShellu, které nakonec dekomprimovaly balíčky se spustitelnými soubory, jako je PartyContinued.exe a obsah CAB souborů (Boat.pst), a nastavily tak skriptovací engine AutoIt zodpovědný za spuštění finální verze Lummy.

Společnost Elastic Security Labs také popsala kampaně, kde ClickFix slouží jako úvodní háček pro GHOSTPULSE.který následně načte mezilehlý zavaděč .NET a nakonec vstříkne ARECHCLIENT2 do paměti, čímž obchází mechanismy jako AMSI pomocí zaháknutí a pokročilého zmatku.

V oblasti koncových uživatelů několik dodavatelů ukázalo zjednodušené příklady útoku ClickFix. ve kterém stránka s „aktualizací prohlížeče“ nebo falešná CAPTCHA tiše zkopíruje skript do schránky a poté donutí uživatele jej vložit do PowerShellu s administrátorskými oprávněními, což usnadňuje připojení k infrastruktuře C2 a stahování spustitelných souborů upravujících systém.

Jedním obzvláště znepokojivým jevem je příchod ClickFixu na TikTok.Videa generovaná i s využitím umělé inteligence propagují „snadné metody“ pro aktivaci bezplatných placených verzí Office, Spotify Premium nebo editačních programů, ale ve skutečnosti navádějí uživatele ke kopírování a vkládání škodlivých příkazů, které instalují infostealery jako Vidar nebo Stealc.

Jak analytici detekují infekce ClickFixem

I když se to uživateli může jevit jako černá magie, infekce ClickFixem zanechávají technickou stopu. které mohou týmy pro vyhledávání hrozeb a EDR použít k detekci incidentu.

V prostředí Windows je jedním z bodů analýzy klíč registru RunMRU., který ukládá naposledy provedené příkazy z okna Spustit (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analytici tyto záznamy prověřují a hledají podezřelé vzorce.Zmatené příkazy, použití PowerShellu nebo MSHTA s neobvyklými URL adresami, volání neznámých domén nebo odkazy na nástroje pro správu, které běžný uživatel obvykle nepoužívá.

Když útočníci použijí variantu Win+X (menu rychlého přístupu) ke spuštění PowerShellu nebo příkazového řádkuKlíč se nachází v telemetrii procesů: události vytváření procesů (například ID 4688 v protokolu zabezpečení systému Windows), kde explorer.exe spustí powershell.exe hned po stisknutí kláves Win+X.

Korelace s dalšími událostmi, jako je přístup ke složce %LocalAppData%\Microsoft\Windows\WinX\ nebo podezřelá síťová připojení po tomto spuštěníTo pomáhá nastínit typické chování infekce ClickFixem, zejména pokud se bezprostředně po ní objeví procesy jako certutil.exe, mshta.exe nebo rundll32.exe.

Dalším vektorem detekce je zneužití schránkyPokročilá řešení pro filtrování URL a zabezpečení DNS dokáží identifikovat JavaScript, který se pokouší vložit škodlivé příkazy do vyrovnávací paměti schránky, což slouží k zablokování stránky dříve, než uživatel dokončí sekvenci.

Čeho se útočníci snaží dosáhnout technikou ClickFix?

Za vším tímto sociálním inženýrstvím se skrývá jasný cíl: získat ekonomické výhody z ukradených informací., a to jak od jednotlivých uživatelů, tak i od organizací.

Informační krádeže nasazené prostřednictvím ClickFixu jsou navrženy tak, aby shromažďovaly přihlašovací údaje, soubory cookie a citlivé údaje. uložené v prohlížečích, e-mailových klientech, firemních aplikacích nebo kryptoměnových peněženkách, stejně jako interní dokumenty a finanční data.

S tímto materiálem mohou zlomyslní aktéři provádět řadu trestných činů:

• Vyděračské společnostivyhrožování únikem důvěrných informací o organizaci nebo jejích klientech.
• Spáchat přímý finanční podvod zneužitím kompromitovaných bankovních účtů, online platebních systémů nebo krypto peněženek.
• Vydávání se za společnost nebo její zaměstnance provádět podvody proti třetím stranám, jako jsou typické podvody s generálním ředitelem nebo útoky BEC.
• Prodej balíčků přihlašovacích údajů a dat na dark webu které ostatní zločinecké skupiny použijí při budoucích útocích.
• Provádět průmyslovou nebo geopolitickou špionáž když je cílem konkrétní organizace nebo strategický sektor.

V mnoha zdokumentovaných kampaních byl ClickFix pouze prvním krokem k rozsáhlejším útokům.včetně nasazení ransomwaru po krádeži přihlašovacích údajů, prodlouženém přístupu k podnikovým sítím nebo využití napadené infrastruktury jako odrazového můstku k jiným cílům.

Jak se mohou uživatelé a firmy chránit před ClickFixem?

Ochrana proti ClickFixu kombinuje technologie, osvědčené postupy a velkou informovanost.protože slabým článkem, kterého tato technika zneužívá, je právě chování uživatele.

Na individuální úrovni existuje několik velmi jednoduchých zlatých pravidel které výrazně snižují riziko pádu:

• Nikdy nevkládejte kód do konzole (PowerShell, cmd, terminál, konzole prohlížeče) jen proto, že vás o to webová stránka požádá.jakkoli legitimní se to může zdát.
• Dávejte si pozor na ověřování Cloudflare, CAPTCHA nebo stránky s „aktualizací prohlížeče“, které požadují podivné kroky. více než jen kliknutí na políčko nebo tlačítko.
• Udržujte svůj prohlížeč, operační systém a aplikace vždy aktuálníInstalace záplat z oficiálních zdrojů a ne z náhodných bannerů nebo vyskakovacích oken.
• Aktivujte dvoufaktorové ověřování (2FA) u důležitých účtů, aby útočníkům ztížili život, i když se jim podaří heslo ukrást.

V korporátním prostředí by firmy měly kromě těchto doporučení jít ještě o krok dál a v rámci své bezpečnostní strategie řešit ClickFix jako specifickou hrozbu.

Některá klíčová opatření pro organizace jsou:

• Omezit používání nástrojů pro spouštění příkazů (PowerShell, cmd, MSHTA) prostřednictvím skupinových zásad, seznamů řízení aplikací nebo konfigurací EDR, aby je používaly pouze technické profily a aktivita se vždy zaznamenávala.
• Implementujte moderní antimalwarová a EDR řešení s detekčními schopnostmi založenými na chování, schopnými identifikovat podezřelé vzorce provádění, i když uživatel zasáhne.
• Monitorování síťového provozu a odchozích připojení k doménám se špatnou reputacízejména směrem k službám zkracování URL adres, nově registrovaným doménám nebo neobvyklým TLD.
• Pravidelně kontrolujte artefakty, jako je RunMRU, protokoly PowerShellu a události zabezpečení. k detekci indikátorů zneužití Win+R, Win+X nebo administrátorských konzolí.

Základním pilířem je průběžné a realistické vzdělávání zaměstnancůTeoretický kurz nestačí; je užitečné provádět kontrolované testy sociálního inženýrství, které simulují kampaně typu ClickFix, podvody s generálními řediteli, pokročilý phishing nebo malware.

Tyto simulace nám umožňují měřit úroveň vyspělosti pracovní síly ve vztahu k těmto technikám.Upravte strategii zvyšování povědomí, identifikujte oblasti s vyšším rizikem a posilujte kulturu „zastavte se a zamyslete se“, než se budete řídit podezřelými pokyny na webových stránkách nebo v e-mailu.

Dále je nezbytné, aby společnosti byly připraveny rychle reagovat na incidentMít jasné plány reakce, specializované týmy nebo poskytovatele a dobře definované procesy pro omezení a eradikaci pro případ, že je detekován možný případ ClickFix nebo jakýkoli jiný vektor kompromitace.

Šíření techniky ClickFix jasně ukazuje, že útočníci našli velmi účinný způsob, jak z uživatele udělat nic netušícího komplice.A neváhají jej kombinovat se sofistikovaným malwarem, dynamickou C2 infrastrukturou a masivními kampaněmi na sociálních sítích nebo ve vyhledávačích; pochopení fungování, rozpoznání signálů a posílení technologií i vzdělávání uživatelů dnes rozhoduje o tom, zda utrpí vážné narušení bezpečnosti, nebo zda je útok včas zastaven.