Hvad er et ClickFix-angreb, og hvordan fungerer det i detaljer?

Sidste ændring: 29 November 2025
Forfatter: TecnoDigital
  • ClickFix er en social engineering-teknik, der manipulerer brugeren til at udføre ondsindede kommandoer ved at kopiere scripts fra falske fejl- eller verifikationssider.
  • Den bruges som en initial adgangsvektor i komplekse angrebskæder, der distribuerer infostealere og RAT'er såsom Lumma Stealer, NetSupport RAT, Latrodectus eller ARECHCLIENT2.
  • Angrebene er afhængige af kompromitterede websteder, malvertising, falske CAPTCHA'er, Google Meet/Zoom-sider og videoer på sociale medier, og påvirker dermed både brugere og virksomheder.
  • Forsvaret kombinerer EDR og avanceret overvågning med omfattende træning i social engineering, politikker for kommandobegrænsning og gennemgang af artefakter såsom RunMRU- og PowerShell-logfiler.

Illustration af ClickFix-angreb

ClickFix-angreb er blevet et af de mest populære social engineering-tricks I cyberkriminalitetens verden: kampagner, der virker harmløse med falske browseradvarsler eller sikkerhedstjek, men som ender med at få brugeren til at køre skadelig kode på sin computer, næsten uden at vide det.

ClickFix er langt fra en teknisk kuriositet, men er allerede blevet set i rigtige kampagner i Latinamerika, Europa og andre regioner., distribution af infostealere, fjernadgangstrojanere (RAT'er) og komplekse loadere som GHOSTPULSE eller NetSupport RAT, og endda udnyttelse af TikTok-videoer eller YouTube-tutorials til at nå tusindvis af ofre.

Hvad er et ClickFix-angreb præcist?

Forklaring af ClickFix-teknikken

ClickFix er en relativt ny social engineering-teknik (populær siden 2024) hvilket er baseret på noget meget simpelt: at overbevise brugeren om at kopiere og køre kommandoer på deres eget system for at "rette" et formodet teknisk problem eller udføre en verifikation.

I stedet for at downloade et ondsindet program direkte, indsætter det ondsindede websted et script eller en kommando i udklipsholderen. (for eksempel PowerShell i Windows eller MSHTA-kommandoer) og viser derefter trinvise instruktioner til offeret om at indsætte og køre den i en konsol, et Kør-felt eller en terminal.

Denne taktik udnytter det, som mange forskere kalder "verifikationstræthed"Brugere er vant til hurtigt at klikke på knapper som "Jeg er et menneske", "Ret det" eller "Opdater nu" uden at analysere beskeden for meget, hvilket gør dem meget sårbare, når skærmen ligner en Cloudflare-verifikation, en Google CAPTCHA eller en Google Meet- eller Zoom-fejl.

Navnet ClickFix kommer netop fra de knapper, der normalt findes på disse lokkemadsprodukter.med tekster som "Ret det", "Sådan rettes det", "Ret nu" eller "Løs problemet", der giver indtryk af, at brugeren anvender en hurtig løsning, når de i virkeligheden kopierer og starter et script, der downloader malware.

Sådan fungerer et ClickFix-angreb trin for trin

Sådan fungerer ClickFix

Selvom der er mange variationer, følger næsten alle ClickFix-angreb en fælles rækkefølge. som kombinerer kompromitterede websteder, ondsindede JavaScript-scripts og brugerens "tvungne" indgriben for at udføre koden.

Det første skridt er normalt at besøge et legitimt websted, der er blevet kompromitteret, eller en direkte ondsindet side., som offeret når fra et link i en phishing-e-mail, manipulerede søgemaskineresultater (ondsindet SEO), ondsindede annoncer eller endda fra en TikTok- eller YouTube-video med formodede tricks til at aktivere betalt software.

Den side viser en falsk advarsel eller bekræftelse, der simulerer et teknisk problem.: fejl ved indlæsning af et dokument, browseropdateringsfejl, problemer med mikrofon eller kamera i Google Meet/Zoom eller en angivelig anti-bot-kontrol som Cloudflare eller reCAPTCHA, der forhindrer dig i at fortsætte, medmindre noget er "rettet".

Så snart brugeren trykker på den "rigtige" knap eller markerer feltet "Jeg er et menneske"Et JavaScript-script indsætter automatisk en ondsindet kommando i udklipsholderen, normalt en forvirret PowerShell- eller MSHTA-kommando, der derefter downloader et andet stykke malware fra en fjernserver.

Hjemmesiden viser en detaljeret vejledning til offeret i at udføre kommandoen.for eksempel:

  • Klik på knappen “Ret det” for at “kopiere løsningskoden”.
  • Tryk på Win+R-tasterne for at åbne Kør-vinduet på Windows.
  • Tryk Ctrl+V for at indsætte det, der er på udklipsholderen (den ondsindede kommando).
  • Tryk Enter for at "løse problemet" eller fortsæt med bekræftelsen.

I mere avancerede variationer udføres tricket med Win+X eller med browserkonsollenBrugeren bliver bedt om at åbne en PowerShell-terminal med administratorrettigheder fra hurtigmenuen (Win+X) eller bruge browserkonsollen (F12 eller Ctrl+Shift+I) og indsætte en blok JavaScript-kode eller en "verifikationsfunktion" der.

  Hvad er Comet, Perplexitys browser, der sætter AI i spidsen?

Efter kommandoen er udført, udvikler resten af ​​infektionen sig i baggrunden.Scriptet downloader andre dele fra kommando- og kontrolservere (C2), dekomprimerer filer, udfører ondsindede DLL'er ved sideloading og ender med at installere infostealers eller RAT'er i hukommelsen eller på disken.

Hvorfor ClickFix er så svært at opdage

Risici ved ClickFix-angrebet

En af de store fordele ved ClickFix for angribere er, at det omgår mange traditionelle sikkerhedsbarrierer.fordi infektionskæden tilsyneladende starter fra brugeren selv og ikke fra en downloadet fil eller et klassisk exploit.

Der er ikke nødvendigvis en mistænkelig vedhæftet fil eller en eksekverbar fil downloadet direkte fra browseren.Det betyder, at mange e-mailfiltre, downloadblokkere og URL-omdømmetjek ikke ser noget åbenlyst ondsindet i den første fase.

Kommandoen udføres fra en "betroet shell" i systemet, f.eks. PowerShell, cmd.exe eller browserkonsollen.Dette giver malware indtryk af legitim aktivitet og komplicerer arbejdet for signaturbaserede antivirusprogrammer og nogle sikkerhedsløsninger, der ikke er særlig gode til adfærdsanalyse.

Sikkerhedsprodukter registrerer typisk truslen, efter at nyttelasten allerede er blevet udført. eller forsøger at integrere i beskyttede processer, ændre kritiske filer såsom hosts-filen, etablere persistens eller kommunikere med en C2-server; det vil sige i en fase efter udnyttelse.

På det tidspunkt kan angriberen have opnået betydelig adgang til systemet.: udvidelse af privilegier, stjæling af legitimationsoplysninger, lateral bevægelse gennem virksomhedens netværk eller endda forsøg på at deaktivere antivirus og andre forsvarslag.

Hvor ClickFix ses i praksis: almindelige kanaler og lokkemidler

Undersøgelser foretaget af forskellige sikkerhedslaboratorier har vist, at ClickFix bruges i en bred vifte af kampagner, rettet mod både private brugere og virksomheder i kritiske sektorer.

Angribere bruger ofte disse kanaler til at implementere deres ClickFix-lokkemidler.:

  • Legitime websteder kompromitteret, hvor de injicerer JavaScript-frameworks som ClearFake for at vise falske opdaterings- eller verifikationsmeddelelser.
  • Ondsindet reklame (malvertising)især bannere og sponsorerede annoncer, der omdirigerer til falske softwaredownloads eller browservalideringssider.
  • Tutorials og videoer på YouTube eller TikTok, med påståede tricks til at aktivere software eller låse op for premium-funktioner gratis.
  • Falske tekniske supportfora og websteder, der efterligner hjælpeportaler, hvor det "anbefales" at køre kommandoer for at rette systemfejl.

I Latinamerika er der allerede dokumenteret tilfælde, hvor officielle hjemmesider og universitetshjemmesider er blevet kompromitteret.For eksempel hjemmesiden for Institut for Industriteknik ved det katolske universitet i Chile eller hjemmesiden for den peruanske politiboligfond, som endte med at vise ClickFix-flows til deres besøgende.

Amerikanske sikkerhedsagenturer har advaret om kampagner, der er rettet mod brugere, der søger efter spil, PDF-læsere, Web3-browsere eller beskedapps.Alt dette gøres ved at udnytte hverdagssøgninger til at omdirigere til sider, der implementerer ClickFix.

Der er også observeret kampagner, der er afhængige af formodede Google Meet-, Zoom-, DocuSign-, Okta-, Facebook- eller Cloudflare-sider., hvor der vises en browserfejl eller CAPTCHA-bekræftelse, hvilket tvinger brugeren til at følge rækkefølgen af ​​kopiering og udførelse af kommandoer.

Den mest almindelige malware distribueret med ClickFix

ClickFix er sjældent den eneste del af angrebetDet er normalt blot den indledende vektor, der tillader implementering af en flertrinsinfektionskæde med en bred vifte af malware.

Blandt de mest fremtrædende familier, der er observeret i de seneste kampagner, er:

  • Infotyvere som Vidar, Lumma, Stealc, Danabot, Atomic Stealer eller Odyssey Stealer, der specialiserer sig i at stjæle browseroplysninger, cookies, autofyldningsdata, kryptovaluta-tegnebøger, VPN- og FTP-oplysninger osv.
  • RAT'er (fjernadgangstrojanere) såsom NetSupport RAT eller ARECHCLIENT2 (SectopRAT)som giver angribere mulighed for at kontrollere systemet, udføre kommandoer, tømme information og iværksætte efterfølgende faser, herunder ransomware.
  • Avancerede loadere såsom GHOSTPULSE, Latrodectus eller ClearFakesom fungerer som lim, der downloader, dekrypterer og indlæser de følgende stykker i hukommelsen, ofte med meget detaljerede lag af tilsløring og kryptering.
  • Værktøjer til at stjæle finansielle og virksomhedsmæssige oplysninger, som udtrækker data fra formularer, e-mailklienter, beskeder og forretningsapplikationer.

I aktive kampagner i 2024 og 2025 er ClickFix blevet set fodre komplekse kæder.For eksempel downloader en ClickFix-lokkedue, der starter PowerShell, en ZIP-fil, der indeholder en legitim eksekverbar fil (såsom Javas jp2launcher.exe) og en ondsindet DLL, og ender via sideloading med at køre NetSupport RAT på computeren.

  Windows 10-patch til gratis opdateringer: ESU og KB5071959

Et andet almindeligt tilfælde er brugen af ​​MSHTA med obfuskerede URL'er til domæner som iploggerco., som efterligner legitime IP-forkortelses- eller registreringstjenester; derfra downloades et Base64-kodet PowerShell-script, der ender med at frigive Lumma Stealer-stagers eller lignende.

Casestudier fra det virkelige liv og fremhævede kampagner med ClickFix

Rapporter fra adskillige incidentresponsteams og sikkerhedslaboratorier har identificeret flere meget aktive kampagner. der drejer sig om ClickFix som et indgangspunkt.

I erhvervssektoren er der observeret en markant effekt i sektorer som f.eks. avanceret teknologi, finansielle tjenesteydelser, fremstilling, detail- og engroshandel, offentlig administration, professionelle og juridiske tjenester, energi og forsyningsvirksomheder, blandt mange andre.

I en kampagne i maj 2025 brugte angribere ClickFix til at implementere NetSupport RAT gennem falske sider, der efterlignede DocuSign og Okta, og udnyttede infrastruktur forbundet med ClearFake-frameworket til at injicere JavaScript, der manipulerede udklipsholderen.

I løbet af marts og april 2025 blev der dokumenteret en stigning i trafikken til domæner kontrolleret af Latrodectus-familien., som begyndte at bruge ClickFix som en indledende adgangsteknik: en kompromitteret portal omdirigeret til en falsk verifikation, offeret kørte en PowerShell fra Win+R, og denne downloadede en MSI, der tabte den skadelige DLL libcef.dll.

Parallelt blev der opdaget typosquatting-kampagner med forbindelse til Lumma Stealer.I disse angreb blev ofrene bedt om at udføre MSHTA-kommandoer, der pegede på domæner, der efterlignede iplogger; disse kommandoer downloadede stærkt forvirrede PowerShell-scripts, der endte med at dekomprimere pakker med eksekverbare filer som PartyContinued.exe og CAB-indhold (Boat.pst) for at sætte en AutoIt-scriptingmotor op, der var ansvarlig for at lancere den endelige version af Lumma.

Elastic Security Labs har også beskrevet kampagner, hvor ClickFix fungerer som den indledende hook for GHOSTPULSE.som igen indlæser en mellemliggende .NET-indlæser og endelig injicerer ARECHCLIENT2 i hukommelsen, hvorved mekanismer som AMSI omgås gennem hooking og avanceret obfuskation.

I slutbrugerbranchen har flere leverandører vist forenklede eksempler på ClickFix-angrebet. hvor en "browseropdaterings"-side eller en falsk CAPTCHA lydløst kopierer et script til udklipsholderen og derefter tvinger brugeren til at indsætte det i PowerShell med administratorrettigheder, hvilket gør det nemmere at oprette forbindelse til C2-infrastrukturen og downloade systemmodificerende eksekverbare filer.

Et særligt bekymrende fænomen er ClickFix' introduktion til TikTok.Videoer genereret selv med AI promoverer "nemme metoder" til at aktivere gratis betalte versioner af Office, Spotify Premium eller redigeringsprogrammer, men i virkeligheden leder de brugerne til at kopiere og indsætte ondsindede kommandoer, der installerer infostealere som Vidar eller Stealc.

Hvordan analytikere opdager ClickFix-infektioner

Selvom det kan virke som sort magi for brugeren, efterlader ClickFix-infektioner et teknisk spor. som trusselsjagthold og EDR'er kan bruge til at opdage hændelsen.

I Windows-miljøer er et af analysepunkterne RunMRU-registreringsnøglen., som gemmer de senest udførte kommandoer fra Kør-vinduet (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analytikere gennemgår disse poster og leder efter mistænkelige mønstre.: obfuskerede kommandoer, brug af PowerShell eller MSHTA med usædvanlige URL'er, kald til ukendte domæner eller referencer til administrative værktøjer, som den normale bruger normalt ikke bruger.

Når angribere bruger Win+X-varianten (hurtig adgangsmenu) til at starte PowerShell eller kommandopromptenLedetråden findes i procestelemetri: procesoprettelseshændelser (såsom ID 4688 i Windows-sikkerhedsloggen), hvor explorer.exe starter powershell.exe lige efter at have trykket på Win+X.

Korrelationen med andre hændelser, såsom adgang til mappen %LocalAppData%\Microsoft\Windows\WinX\ eller mistænkelige netværksforbindelser efter den pågældende udførelse.Dette hjælper med at skitsere den typiske opførsel af en ClickFix-infektion, især hvis processer som certutil.exe, mshta.exe eller rundll32.exe vises umiddelbart efter.

En anden detektionsvektor er misbrug af udklipsholderenAvancerede URL-filtrerings- og DNS-sikkerhedsløsninger kan identificere JavaScript, der forsøger at indsætte ondsindede kommandoer i udklipsholderbufferen, hvilket blokerer siden, før brugeren fuldfører sekvensen.

Hvad forsøger angriberne at opnå med ClickFix-teknikken?

Bag al denne sociale manipulation ligger et klart mål: at opnå økonomiske fordele fra stjålne oplysninger., både fra individuelle brugere og organisationer.

Infostealere, der implementeres via ClickFix, er designet til at indsamle legitimationsoplysninger, cookies og følsomme data. gemt i browsere, e-mailklienter, virksomhedsapplikationer eller kryptovaluta-tegnebøger, samt interne dokumenter og finansielle data.

  Hvad er BitLocker: En komplet guide til kryptering i Windows

Med det materiale kan ondsindede aktører udføre adskillige kriminelle aktiviteter:

  • Afpresningsfirmaertruer med at lække fortrolige oplysninger om organisationen eller dens kunder.
  • At begå direkte økonomisk bedrageri ved at udnytte kompromitterede bankkonti, online betalingssystemer eller krypto-tegnebøger.
  • Udgivelse af virksomheden eller dens medarbejdere at udføre svindel mod tredjeparter, såsom typisk CEO-svindel eller BEC-angreb.
  • Salg af legitimationsoplysninger og datapakker på det mørke web som andre kriminelle grupper vil bruge i fremtidige angreb.
  • At udføre industriel eller geopolitisk spionage når målet er en specifik organisation eller en strategisk sektor.

I mange dokumenterede kampagner har ClickFix blot været det første skridt mod større angreb., herunder ransomware-implementering efter tyveri af legitimationsoplysninger, forlænget adgang til virksomhedsnetværk eller brug af den kompromitterede infrastruktur som springbræt til andre mål.

Hvordan kan brugere og virksomheder beskytte sig mod ClickFix?

At forsvare sig mod ClickFix kombinerer teknologi, bedste praksis og en masse bevidsthed.fordi det svage led, som denne teknik udnytter, netop er brugerens adfærd.

På et individuelt plan er der flere meget enkle gyldne regler hvilket reducerer risikoen for at falde betydeligt:

  • Indsæt aldrig kode i en konsol (PowerShell, cmd, terminal, browserkonsol), bare fordi et websted beder dig om det.hvor legitimt det end måtte synes.
  • Vær forsigtig med Cloudflare-verifikationer, CAPTCHA'er eller "browseropdaterings"-sider, der beder om mærkelige trin. ud over at klikke på en boks eller en knap.
  • Hold din browser, dit operativsystem og dine applikationer altid opdateredeInstallation af programrettelser fra officielle kilder og ikke fra tilfældige bannere eller pop op-vinduer.
  • Aktivér tofaktorgodkendelse (2FA) på vigtige konti, for at gøre livet vanskeligere for angriberne, selvom de formår at stjæle adgangskoden.

I virksomhedsmiljøet bør virksomheder, udover disse anbefalinger, gå et skridt videre og adressere ClickFix som en specifik trussel inden for deres sikkerhedsstrategi.

Nogle vigtige foranstaltninger for organisationer er:

  • Begræns brugen af ​​kommandoudførelsesværktøjer (PowerShell, cmd, MSHTA) gennem gruppepolitikker, programkontrollister eller EDR-konfigurationer, så kun tekniske profiler bruger dem, og altid logger aktiviteten.
  • Implementer moderne antimalware- og EDR-løsninger med adfærdsbaserede detektionsfunktioner, der er i stand til at identificere mistænkelige udførelsesmønstre, selv når brugeren griber ind.
  • Overvåg netværkstrafik og udgående forbindelser til domæner med dårligt omdømmeisær i forhold til URL-forkortelsestjenester, nyregistrerede domæner eller usædvanlige TLD'er.
  • Gennemgå regelmæssigt artefakter såsom RunMRU, PowerShell-logfiler og sikkerhedshændelser at opdage indikatorer for misbrug af Win+R, Win+X eller administrative konsoller.

En grundlæggende søjle er den løbende og realistiske uddannelse af personaletEt teoretisk kursus er ikke nok; det er nyttigt at udføre kontrollerede social engineering-tests, der simulerer ClickFix-lignende kampagner, CEO-svindel, avanceret phishing eller malvertising.

Disse simuleringer giver os mulighed for at måle arbejdsstyrkens modenhedsniveau i forhold til disse teknikker.Justér opmærksomhedsstrategien, identificer områder med større risiko, og forstærk kulturen med at "stoppe op og tænke", før man følger mistænkelige instruktioner på en hjemmeside eller i en e-mail.

Derudover er det afgørende, at virksomheder er forberedte på at reagere hurtigt på en hændelse.have klare indsatsplaner, specialiserede teams eller udbydere og veldefinerede inddæmnings- og udryddelsesprocesser på plads, når en mulig ClickFix-sag eller en anden kompromitterende vektor opdages.

Spredningen af ​​ClickFix-teknikken gør det klart, at angribere har fundet en meget effektiv måde at gøre brugeren til en uvidende medskyldig.Og de tøver ikke med at kombinere det med sofistikeret malware, dynamiske C2-infrastrukturer og massive kampagner på sociale netværk eller søgemaskiner; at forstå, hvordan det fungerer, genkende dets signaler og styrke både teknologien og brugeruddannelsen gør i dag forskellen mellem at lide under et alvorligt brud eller at afbryde angrebet i tide.

Sådan beskytter du dig selv mod Interlock og Warlock ransomware
relateret artikel:
Sådan beskytter du dig selv mod Interlock og Warlock ransomware: en taktisk og praktisk guide