Menene harin ClickFix kuma ta yaya yake aiki daki-daki?

Informatec Digital » Resources » Menene harin ClickFix kuma ta yaya yake aiki daki-daki?

Hare-haren ClickFix sun zama ɗayan mafi kyawun dabaru na injiniyan zamantakewa A cikin duniyar laifuffuka ta yanar gizo: yaƙin neman zaɓe da ba shi da lahani, tare da faɗakarwa na karya ko bincike na tsaro, amma yana haifar da mai amfani da lambar ɓarna a kwamfutarsu, kusan ba tare da saninsa ba.

Nisa daga kasancewa sha'awar fasaha, ClickFix an riga an gani a cikin kamfen na gaske a Latin Amurka, Turai da sauran yankuna., rarraba infostealers, m damar trojans (RATs) da hadaddun loaders irin su GHOSTPULSE ko NetSupport RAT, har ma da cin gajiyar bidiyo na TikTok ko koyaswar YouTube don isa ga dubban waɗanda abin ya shafa.

Menene ainihin harin ClickFix?

ClickFix wata dabara ce ta injiniyan zamantakewa ta kwanan nan (wanda ta shahara tun 2024) wanda ya dogara ne akan wani abu mai sauqi qwarai: gamsar da mai amfani don yin kwafi da gudanar da umarni akan nasu tsarin don "gyara" matsalar fasaha da ake zaton ko kammala tabbatarwa.

Maimakon zazzage wani mugun shirin kai tsaye, gidan yanar gizon qeta yana shigar da rubutu ko umarni a cikin allo. (misali, PowerShell a cikin Windows ko umarnin MSHTA) sannan yana nuna umarnin mataki-mataki don wanda aka azabtar ya liƙa da sarrafa shi a cikin na'ura mai kwakwalwa, Run akwatin, ko tasha.

Wannan dabarar tana amfani da abin da masu bincike da yawa ke kira "gajiya tabbatarwa"Masu amfani sun saba da saurin danna maballin kamar "Ni mutum ne", "Gyara shi" ko "Update now" ba tare da yin nazarin saƙon da yawa ba, wanda ke sa su zama masu rauni sosai idan allon ya yi kama da tabbacin Cloudflare, Google CAPTCHA ko Google Meet ko Kuskuren Zuƙowa.

Sunan ClickFix ya zo daidai daga maɓallan da yawanci ke bayyana akan waɗannan layukantare da rubutu kamar "gyara", "Yadda za a gyara", "gyara yanzu" ko "warware batun", wanda ke ba da ra'ayi cewa mai amfani yana amfani da mafita mai sauri, lokacin da a zahiri suna kwafa da ƙaddamar da rubutun da ke zazzage malware.

Yadda harin ClickFix ke aiki mataki-mataki

Kodayake akwai bambance-bambancen da yawa, kusan duk harin ClickFix yana bin jerin gama gari. wanda ke haɗa gidajen yanar gizon da ba su dace ba, rubutun JavaScript na ƙeta, da kuma “tilasta” sa hannun mai amfani don aiwatar da lambar.

Mataki na farko shine yawanci ziyartar halaltaccen gidan yanar gizon da aka lalata ko shafi na mugunta kai tsaye., wanda wanda aka azabtar ya kai daga hanyar haɗin yanar gizo a cikin imel ɗin phishing, sakamakon ingin bincike (malicious SEO), tallace-tallace mara kyau ko ma daga TikTok ko bidiyon YouTube tare da dabarun da ake tsammani don kunna software da aka biya.

Wannan shafin yana nuna faɗakarwa ko tabbaci na karya wanda ke kwatanta matsalar fasaha.: kuskuren loda daftarin aiki, gazawar sabunta mai bincike, makirufo ko matsalolin kamara a cikin Google Meet/Zoom, ko abin da ake tsammani anti-bot check kamar Cloudflare ko reCAPTCHA wanda ke hana ku ci gaba sai dai idan wani abu ya “gyara”.

Da zaran mai amfani ya danna maɓallin "daidai" ko ya duba akwatin "Ni mutum ne".Rubutun JavaScript ta atomatik yana shigar da mugun umarni cikin faifan allo, yawanci ruɓaɓɓen umarnin PowerShell ko MSHTA wanda zai sauke wani yanki na malware daga sabar mai nisa.

Gidan yanar gizon yana nuna cikakken jagora ga wanda aka azabtar don aiwatar da wannan umarni., alal misali:

• Danna maɓallin "gyara shi" don "kwafi lambar bayani".
• Latsa maɓallan Win + R don buɗe taga Run a cikin Windows.
• Latsa Ctrl+V don liƙa abin da ke kan allo (umarnin mugun nufi).
• Latsa Shigar don "gyara matsalar" ko ci gaba da tabbatarwa.

A cikin ƙarin bambance-bambancen ci-gaba, ana yin dabarar tare da Win + X ko tare da na'urar wasan bidiyoAn umurci mai amfani da ya buɗe tashar PowerShell tare da gata mai gudanarwa daga menu mai sauri (Win+X) ko don amfani da na'ura mai ba da hanya tsakanin hanyoyin sadarwa (F12 ko Ctrl+Shift+I) da liƙa toshe na lambar JavaScript ko aikin "tabbaci" a wurin.

Bayan an aiwatar da umarnin, sauran kamuwa da cuta suna tasowa a bango.Rubutun yana zazzage wasu sassa daga sabar umarni da sarrafawa (C2), yana lalata fayiloli, yana aiwatar da DLLs masu cutarwa ta hanyar lodawa gefe, kuma ya ƙare shigar da infostealers ko RATs a ƙwaƙwalwar ajiya ko akan faifai.

Me yasa ClickFix yana da wahalar ganowa

Ɗaya daga cikin manyan fa'idodin ClickFix ga maharan shine ya ketare shingen tsaro na gargajiya da yawa.saboda sarkar kamuwa da cuta ta bayyana tana farawa daga masu amfani da kansu ba daga fayil ɗin da aka zazzage ba ko amfani na yau da kullun.

Babu shakka babu abin da aka makala mai tuhuma ko wanda za'a iya sauke shi kai tsaye daga mai lilo.Wannan yana nufin cewa yawancin masu tace imel, masu saukar da masu katsewa, da bincikar suna na URL ba sa ganin wani abu mai muni a zahiri a wancan matakin na farko.

Ana aiwatar da umarnin daga “amintaccen harsashi” na tsarin, kamar PowerShell, cmd.exe, ko na'urar wasan bidiyo.Wannan yana ba malware bayyanar halaltaccen aiki kuma yana dagula aikin shirye-shiryen riga-kafi na tushen sa hannu da wasu hanyoyin tsaro waɗanda ba su da kyau sosai wajen nazarin ɗabi'a.

Kayayyakin tsaro galibi suna gano barazanar bayan an riga an aiwatar da aikin da aka biya. ko ƙoƙarin haɗawa cikin matakai masu kariya, gyaggyara fayiloli masu mahimmanci kamar fayil ɗin runduna, kafa dagewa, ko sadarwa tare da uwar garken C2; wato a cikin wani lokaci bayan amfani.

A lokacin, mai yiwuwa maharin ya sami dama ga tsarin.: ɗaukaka gata, satar takaddun shaida, motsawa ta gefe ta hanyar sadarwar kamfanoni, ko ma ƙoƙarin kashe riga-kafi da sauran matakan tsaro.

Inda ake ganin ClickFix a aikace: tashoshi na yau da kullun da rudani

Binciken da dakunan gwaje-gwaje na tsaro daban-daban ya nuna cewa ana amfani da ClickFix a cikin babban kewayon yakin, da nufin duka masu amfani da gida da kamfanoni a sassa masu mahimmanci.

Maharan sukan dogara da waɗannan tashoshi don tura maƙiyinsu na ClickFix:

• Shafukan yanar gizo na halal sun daidaita, wanda a ciki suke allurar tsarin JavaScript kamar ClearFake don nuna sabuntawar karya ko sanarwa ta tabbatarwa.
• Tallace-tallace mara kyau (malvertising)musamman banners da tallace-tallacen da aka ba da tallafi waɗanda ke turawa zuwa saukar da software na jabu ko shafukan tabbatar da burauza.
• Koyawa da bidiyo akan YouTube ko TikTok, tare da zarge-zarge don kunna software ko buše fasalulluka kyauta.
• Dandalin goyan bayan fasaha na karya da gidajen yanar gizo waɗanda ke kwaikwayon hanyoyin hanyoyin taimako, inda aka "ba da shawarar" don gudanar da umarni don gyara kurakuran tsarin.

A cikin Latin Amurka, an riga an rubuta shari'o'i inda aka lalata gidajen yanar gizon hukuma da na jami'a.Misali, gidan yanar gizon Makarantar Injiniyan Masana'antu a Jami'ar Katolika ta Chile ko gidan yanar gizon Asusun Gidajen 'yan sanda na Peru, wanda ya ƙare yana nuna ClickFix yana gudana zuwa ga baƙi.

Hukumomin tsaron Amurka sun yi gargadi game da kamfen da ake yi wa masu amfani da ke neman wasanni, masu karanta PDF, masu bincike na Web3, ko aikace-aikacen aika saƙon.Duk waɗannan ana yin su ta hanyar yin amfani da binciken yau da kullun don turawa zuwa shafukan da ke aiwatar da ClickFix.

An kuma lura da yaƙin neman zaɓe wanda ya dogara da abubuwan da ake zaton Google Meet, Zoom, DocuSign, Okta, Facebook, ko shafukan Cloudflare., inda aka nuna kuskuren burauza ko tabbatar da CAPTCHA, tilasta wa mai amfani bin jerin kwafi da aiwatar da umarni.

Mafi yawan malware da aka rarraba tare da ClickFix

ClickFix da wuya shine kawai yanki na harinYawanci kawai vector na farko ne wanda ke ba da damar tura sarkar kamuwa da cuta da yawa tare da nau'ikan malware iri-iri.

Daga cikin fitattun iyalai da aka gani a yakin kwanan nan akwai:

• Infostealers kamar Vidar, Lumma, Stealc, Danabot, Atomic Stealer ko Odyssey Stealer, ƙware a cikin satar bayanan burauza, kukis, bayanan autofill, walat ɗin cryptocurrency, shaidar VPN da FTP, da sauransu.
• RATs (nesa trojans) kamar NetSupport RAT ko ARECHCLIENT2 (SectopRAT)wanda ke ba maharan damar sarrafa tsarin, aiwatar da umarni, fitar da bayanai, da ƙaddamar da matakai na gaba, gami da ransomware.
• Manyan lodi kamar GHOSTPULSE, Latrodectus, ko ClearFakewanda ke aiki azaman manne, zazzagewa, ɓarnawa da loda waɗannan ɓangarorin zuwa ƙwaƙwalwar ajiya, galibi tare da ƙayyadaddun yadudduka na ɓoyewa da ɓoyewa.
• Kayan aikin satar bayanan kuɗi da na kamfani, wanda ke fitar da bayanai daga fom, abokan ciniki na imel, saƙon, da aikace-aikacen kasuwanci.

A cikin yaƙin neman zaɓe a lokacin 2024 da 2025, an ga ClickFix yana ciyar da sarƙoƙi masu rikitarwa.Misali, yaudarar ClickFix wacce ta kaddamar da PowerShell tana zazzage fayil din ZIP mai dauke da halaltaccen aiwatarwa (kamar Java's jp2launcher.exe) da kuma DLL mai mugun nufi, kuma ta hanyar lodawa ta gefe yana ƙarewa yana gudana NetSupport RAT akan kwamfutar.

Wani shari'ar gama gari shine amfani da MSHTA tare da ɓoye URLs zuwa yankuna kamar iploggerco, wanda ke kwaikwayon halaltaccen gajeriyar IP ko ayyukan rajista; daga nan ana zazzage rubutun Base64-encoded PowerShell wanda ya ƙare yana sakin matakan Lumma Stealer ko makamancin haka.

Nazarin shari'ar rayuwa ta ainihi da fa'idodin kamfen tare da ClickFix

Rahotanni daga ƙungiyoyin mayar da martani da yawa da kuma ɗakunan binciken tsaro sun gano kamfen da yawa masu aiki sosai wanda ke kewaye da ClickFix a matsayin wurin shigarwa.

A fannin kasuwanci, an ga wani gagarumin tasiri a sassa kamar su fasahar ci-gaba, sabis na kuɗi, masana'antu, dillalai da ciniki, kasuwancin jama'a, ƙwararru da sabis na shari'a, makamashi da abubuwan amfani, da sauransu da yawa.

A cikin kamfen na Mayu 2025, maharan sun yi amfani da ClickFix don tura NetSupport RAT ta hanyar shafukan karya da suka kwaikwayi DocuSign da Okta, suna cin gajiyar abubuwan more rayuwa da ke da alaƙa da tsarin ClearFake don allurar JavaScript wanda ya sarrafa allo.

A cikin Maris da Afrilu na 2025, an ƙididdige karuwar zirga-zirga zuwa wuraren da dangin Latrodectus ke sarrafawa., wanda ya fara amfani da ClickFix azaman dabarar samun dama ta farko: hanyar da aka lalata da aka karkata zuwa ga tabbacin karya, wanda aka azabtar ya yi amfani da PowerShell daga Win + R kuma wannan ya zazzage MSI wanda ya sauke DLL libcef.dll mai cutarwa.

A cikin layi daya, an gano kamfen ɗin buga rubutu da ke da alaƙa da Lumma Stealer.A cikin waɗannan hare-haren, an nemi waɗanda abin ya shafa su aiwatar da umarnin MSHTA waɗanda ke nuni ga wuraren da ke kwaikwayon iplogger; waɗannan umarni sun zazzage rubutun PowerShell masu ɓarna waɗanda suka ƙare har zuwa lalata fakiti tare da abubuwan aiwatarwa kamar PartyContinued.exe da abubuwan CAB (Boat.pst) don saita injin rubutun AutoIt da ke da alhakin ƙaddamar da sigar ƙarshe ta Lumma.

Labs Tsaro na Elastic ya kuma bayyana kamfen inda ClickFix ke aiki azaman ƙugiya ta farko don GHOSTPULSEwanda kuma yana loda madaidaicin .NET Loader sannan a karshe ya sanya ARECHCLIENT2 cikin memory, ta hanyar tsallake hanyoyin kamar AMSI ta hanyar hooking da ci gaba obfuscation.

A fagen mai amfani na ƙarshe, dillalai da yawa sun nuna sauƙaƙan misalan harin ClickFix. a cikin abin da shafin “sabuntawa mai lilo” ko CAPTCHA na karya ya yi shuru yana kwafin rubutu zuwa allon allo sannan kuma ya tilasta mai amfani ya liƙa shi cikin PowerShell tare da gata mai gudanarwa, yana sauƙaƙa haɗawa da kayan aikin C2 da zazzage abubuwan aiwatar da gyara tsarin.

Wani abin damuwa musamman shine zuwan ClickFix akan TikTok.Bidiyoyin da aka kirkira ko da tare da AI suna haɓaka "hanyoyi masu sauƙi" don kunna nau'ikan biya na Office, Spotify Premium ko shirye-shiryen gyara kyauta, amma a zahiri suna jagorantar masu amfani don kwafi da liƙa munanan umarni waɗanda ke shigar da infostealers kamar Vidar ko Stealc.

Yadda masu bincike ke gano cututtukan ClickFix

Kodayake yana iya zama kamar baƙar fata ga mai amfani, cututtukan ClickFix suna barin alamar fasaha. cewa ƙungiyoyin farauta masu barazanar da EDRs na iya amfani da su don gano abin da ya faru.

A cikin mahallin Windows, ɗayan wuraren bincike shine maɓallin rajista na RunMRU., wanda ke adana umarnin kwanan nan da aka aiwatar daga taga Run (Win + R):

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

Manazarta suna duba waɗannan shigarwar suna neman alamu masu shakka.: rufaffen umarni, amfani da PowerShell ko MSHTA tare da URLs masu ban mamaki, kira zuwa wuraren da ba a sani ba, ko nassoshi ga kayan aikin gudanarwa waɗanda mai amfani na yau da kullun ba ya amfani da su.

Lokacin da maharan suka yi amfani da bambance-bambancen Win + X (menun shiga cikin sauri) don ƙaddamar da PowerShell ko Umurnin UmurniAna samun ma'anar a cikin tsarin telemetry: abubuwan ƙirƙirar tsari (kamar ID 4688 a cikin log ɗin tsaro na Windows) inda Explorer.exe ya haifar da powershell.exe daidai bayan danna Win + X.

Daidaituwa da sauran abubuwan da suka faru, kamar samun dama ga %LocalAppData%MicrosoftWindowsWinX babban fayil ko hanyoyin haɗin yanar gizo da ake tuhuma bayan wannan kisa.Wannan yana taimakawa wajen zayyana dabi'un halayen kamuwa da cutar ClickFix, musamman idan matakai kamar certutil.exe, mshta.exe, ko rundll32.exe suka bayyana nan da nan.

Wani vector ganowa shine cin zarafin alloCigaba da tace URL da mafitacin tsaro na DNS na iya gano JavaScript da ke ƙoƙarin shigar da muggan umarni cikin ma'ajin allo, wanda ke aiki don toshe shafin kafin mai amfani ya kammala jerin.

Menene maharan ke ƙoƙarin cimma tare da fasahar ClickFix?

Bayan duk wannan injiniyan zamantakewa ya ta'allaka ne bayyananne manufa: don samun fa'idodin tattalin arziki daga bayanan sata., duka daga daidaikun masu amfani da ƙungiyoyi.

Infostealers da aka tura ta ClickFix an ƙera su don tattara takaddun shaida, kukis, da mahimman bayanai. adana a cikin masu bincike, abokan cinikin imel, aikace-aikacen kamfanoni ko walat ɗin cryptocurrency, da takaddun ciki da bayanan kuɗi.

Tare da wannan kayan, ƴan wasan ƙeta na iya aiwatar da ayyukan laifuka da yawa:

• Kamfanoni na kwacebarazanar fitar da bayanan sirri game da kungiyar ko abokan cinikinta.
• Don yin zamba ta kudi kai tsaye ta hanyar yin amfani da asusun banki da aka lalata, tsarin biyan kuɗi na kan layi, ko walat ɗin crypto.
• Yin kwaikwayon kamfani ko ma'aikatansa don aiwatar da zamba a kan wasu kamfanoni, kamar yaudarar Shugaba ko harin BEC.
• Sayar da bayanan sirri da fakitin bayanai akan gidan yanar gizo mai duhu da sauran kungiyoyin masu aikata laifuka za su yi amfani da su wajen kai hare-hare a nan gaba.
• Don aiwatar da aikin leƙen asiri na masana'antu ko geopolitical lokacin da manufa ta kasance takamaiman kungiya ko wani yanki mai mahimmanci.

A yawancin kamfen da aka rubuta, ClickFix ya kasance mataki na farko zuwa manyan hare-haregami da ransomware turawa bayan sata na takaddun shaida, daɗaɗɗen samun dama ga cibiyoyin sadarwa na kamfanoni, ko amfani da abubuwan da ba su dace ba a matsayin maɓuɓɓugar ruwa zuwa wasu manufofin.

Ta yaya masu amfani da kamfanoni za su iya kare kansu daga ClickFix?

Kare da ClickFix ya haɗu da fasaha, mafi kyawun ayyuka, da kuma wayar da kan jama'a.saboda raunin hanyar da wannan dabarar ke amfani da ita shine daidai halin mai amfani.

A kan matakin mutum ɗaya, akwai dokoki na zinariya da yawa masu sauƙi wanda ke rage haɗarin faɗuwa sosai:

• Kada a taɓa manna lamba a cikin na'ura mai ba da hanya tsakanin hanyoyin sadarwa (PowerShell, cmd, tasha, na'ura mai ba da hanya tsakanin hanyoyin sadarwa) kawai saboda gidan yanar gizon yana buƙatar ku.duk da haka halal yana iya zama kamar.
• Yi hankali da tabbatarwa na Cloudflare, CAPTCHAs, ko "sabuntawa mai lilo" da ke neman matakai masu ban mamaki. fiye da danna akwati ko maɓalli.
• Ci gaba da sabunta burauzarka, tsarin aiki, da aikace-aikace koyausheShigar da faci daga tushe na hukuma ba daga banners na bazuwar ko fafutuka ba.
• Kunna tantancewar abubuwa biyu (2FA) akan mahimman asusu, don kara wahalar rayuwa ga maharan ko da sun sami nasarar sace kalmar sirri.

A cikin yanayin kamfanoni, ban da waɗannan shawarwari, kamfanoni yakamata su ci gaba da tafiya gaba da kuma magance ClickFix a matsayin takamaiman barazana a cikin dabarun tsaro.

Wasu mahimman matakan don ƙungiyoyi sune:

• Ƙuntata amfani da kayan aikin aiwatar da umarni (PowerShell, cmd, MSHTA) ta hanyar manufofin rukuni, lissafin sarrafa aikace-aikacen ko daidaitawar EDR, ta yadda bayanan fasaha kawai ke amfani da su kuma koyaushe shiga ayyukan.
• Aiwatar da antimalware na zamani da mafita na EDR tare da damar gano tushen ɗabi'a, mai iya gano tsarin aiwatar da tuhuma ko da lokacin da mai amfani ya shiga tsakani.
• Kula da zirga-zirgar hanyar sadarwa da hanyoyin haɗin waje zuwa yankunan da ba su da kyaumusamman zuwa ga gajerun sabis na URL, sabbin yankuna masu rijista, ko TLDs da ba a saba gani ba.
• Yi bitar kayan tarihi lokaci-lokaci kamar RunMRU, rajistan ayyukan PowerShell, da abubuwan tsaro don gano alamun rashin amfani da Win+R, Win+X ko consoles na gudanarwa.

Babban ginshiƙi shine ci gaba da horar da ma'aikata na gaskeKos na ka'idar bai isa ba; yana da amfani don gudanar da gwaje-gwajen injiniyan zamantakewa masu sarrafawa waɗanda ke yin kwatankwacin kamfen-nau'in ClickFix, zamba na Shugaba, phishing na gaba, ko ɓarna.

Waɗannan kwaikwaiyo suna ba mu damar auna matakin balaga na ma'aikata dangane da waɗannan fasahohin.Daidaita dabarun wayar da kan jama'a, gano wuraren haɗari mafi girma, da ƙarfafa al'adun "dakata da tunani" kafin bin umarni masu ban sha'awa akan gidan yanar gizon ko a cikin imel.

Bugu da ƙari, yana da mahimmanci kamfanoni su shirya don mayar da martani da sauri ga abin da ya faru: suna da cikakkun tsare-tsaren amsawa, ƙungiyoyi na musamman ko masu samarwa, da ƙayyadaddun tsare-tsare da hanyoyin kawar da su don lokacin da aka gano yiwuwar ClickFix ko duk wani nau'in daidaitawa.

Yaduwar fasaha ta ClickFix ya bayyana a fili cewa maharan sun sami hanya mai mahimmanci don mayar da mai amfani zuwa wani abokin tarayya marar sani.Kuma ba sa jinkirin haɗa shi tare da nagartaccen malware, kayan aikin C2 masu ƙarfi da kuma kamfen mai yawa akan cibiyoyin sadarwar jama'a ko injunan bincike; fahimtar yadda yake aiki, fahimtar siginar sa da kuma ƙarfafa duka fasaha da ilimin masu amfani da su yana haifar da bambanci a yau tsakanin shan wahala mai tsanani ko yanke harin a cikin lokaci.