Što je ClickFix napad i kako detaljno funkcionira?

Informatec Digital » Sredstva » Što je ClickFix napad i kako detaljno funkcionira?

ClickFix napadi postali su jedan od najmodernijih trikova socijalnog inženjeringa. U svijetu kibernetičkog kriminala: kampanje koje se čine bezopasnima, s lažnim upozorenjima preglednika ili sigurnosnim provjerama, ali na kraju uzrokuju da korisnik pokrene zlonamjerni kod na svom računalu, gotovo bez da to i shvaća.

Daleko od toga da je riječ o tehničkoj kuriozitet, ClickFix je već viđen u stvarnim kampanjama u Latinskoj Americi, Europi i drugim regijama., distribucijom kradljivaca informacija, trojanaca za udaljeni pristup (RAT-ova) i složenih učitavača poput GHOSTPULSE-a ili NetSupport RAT-a, pa čak i iskorištavanjem TikTok videa ili YouTube tutorijala kako bi dosegli tisuće žrtava.

Što je točno ClickFix napad?

ClickFix je relativno novija tehnika socijalnog inženjeringa (popularizirana od 2024. godine) što se temelji na nečemu vrlo jednostavnom: uvjeravanju korisnika da kopira i pokrene naredbe na vlastitom sustavu kako bi "popravio" navodni tehnički problem ili dovršio provjeru.

Umjesto izravnog preuzimanja zlonamjernog programa, zlonamjerna web stranica ubrizgava skriptu ili naredbu u međuspremnik. (na primjer, PowerShell u sustavu Windows ili MSHTA naredbe) i zatim prikazuje detaljne upute za žrtvu kako ga zalijepiti i pokrenuti u konzoli, okviru za pokretanje ili terminalu.

Ova taktika iskorištava ono što mnogi istraživači nazivaju "umorom od provjere"Korisnici su navikli brzo klikati na gumbe poput "Ja sam čovjek", "Popravi" ili "Ažuriraj odmah" bez previše analize poruke, što ih čini vrlo ranjivima kada ekran izgleda kao Cloudflare provjera, Google CAPTCHA ili greška Google Meeta ili Zooma.

Naziv ClickFix dolazi upravo od gumba koji se obično nalaze na ovim mamcima.s tekstovima poput „Popravi“, „Kako popraviti“, „Ispravi odmah“ ili „Riješi problem“, koji ostavljaju dojam da korisnik primjenjuje brzo rješenje, dok u stvarnosti kopira i pokreće skriptu koja preuzima zlonamjerni softver.

Kako ClickFix napad funkcionira korak po korak

Iako postoje mnoge varijacije, gotovo svi ClickFix napadi slijede zajednički slijed. koji kombinira kompromitirane web stranice, zlonamjerne JavaScript skripte i "prisilnu" intervenciju korisnika za izvršavanje koda.

Prvi korak je obično posjet legitimnoj web stranici koja je kompromitirana ili izravno zlonamjernoj stranici., do kojeg žrtva dolazi putem poveznice u phishing e-poruci, manipuliranih rezultata tražilica (zlonamjerni SEO), zlonamjernih oglasa ili čak putem TikTok ili YouTube videa s navodnim trikovima za aktiviranje plaćenog softvera.

Ta stranica prikazuje lažno upozorenje ili potvrdu koja simulira tehnički problem.: pogreška pri učitavanju dokumenta, neuspjeh ažuriranja preglednika, problemi s mikrofonom ili kamerom u Google Meetu/Zoomu ili navodna provjera protiv botova poput Cloudflarea ili reCAPTCHA-e koja vam onemogućuje nastavak osim ako nešto nije "popravljeno".

Čim korisnik pritisne gumb "ispravno" ili označi kućicu "Ja sam čovjek"JavaScript skripta automatski ubrizgava zlonamjernu naredbu u međuspremnik, obično maskiranu PowerShell ili MSHTA naredbu koja će zatim preuzeti drugi zlonamjerni softver s udaljenog poslužitelja.

Web stranica prikazuje detaljan vodič za žrtvu kako izvršiti tu naredbu., na primjer:

• Kliknite gumb "Popravi" da biste "kopirali kod rješenja".
• Pritisnite tipke Win + R da biste otvorili prozor Run na Windows.
• Pritisnite Ctrl+V za lijepljenje sadržaja međuspremnika (zlonamjerna naredba).
• Pritisnite Enter za "riješavanje problema" ili nastavite s provjerom.

U naprednijim varijacijama, trik se izvodi s Win+X ili pomoću konzole preglednikaKorisniku se upućuje da otvori PowerShell terminal s administratorskim ovlastima iz brzog izbornika (Win+X) ili da koristi konzolu preglednika (F12 ili Ctrl+Shift+I) i tamo zalijepi blok JavaScript koda ili funkciju "provjere".

Nakon što se naredba izvrši, ostatak infekcije se razvija u pozadini.Skripta preuzima druge dijelove s C2 (command and control) poslužitelja, dekomprimira datoteke, izvršava zlonamjerne DLL-ove bočnim učitavanjem i na kraju instalira infostealere ili RAT-ove u memoriju ili na disk.

Zašto je ClickFix tako teško otkriti

Jedna od velikih prednosti ClickFixa za napadače je ta što zaobilazi mnoge tradicionalne sigurnosne barijere.jer se čini da lanac infekcije počinje od samog korisnika, a ne od preuzete datoteke ili klasičnog iskorištavanja.

Ne mora nužno biti sumnjivog privitka ili izvršne datoteke preuzete izravno iz preglednika.To znači da mnogi filteri e-pošte, blokatori preuzimanja i provjere reputacije URL-ova ne vide ništa očito zlonamjerno u toj prvoj fazi.

Naredba se izvršava iz "pouzdane ljuske" sustava, kao što su PowerShell, cmd.exe ili konzola preglednika.To zlonamjernom softveru daje privid legitimne aktivnosti i komplicira rad antivirusnih programa temeljenih na potpisima i nekih sigurnosnih rješenja koja nisu baš dobra u analizi ponašanja.

Sigurnosni proizvodi obično otkrivaju prijetnju nakon što je korisni teret već izvršen. ili pokušava integrirati u zaštićene procese, izmijeniti kritične datoteke poput datoteke hosts, uspostaviti perzistenciju ili komunicirati s C2 poslužiteljem; to jest, u fazi nakon iskorištavanja.

Do tada bi napadač mogao steći značajan pristup sustavu.: povećanje privilegija, krađa vjerodajnica, lateralno kretanje kroz korporativnu mrežu ili čak pokušaj onemogućavanja antivirusnog programa i drugih slojeva obrane.

Gdje se ClickFix vidi u praksi: uobičajeni kanali i mamci

Istrage raznih sigurnosnih laboratorija pokazale su da se ClickFix koristi u širokom rasponu kampanja., namijenjen i kućnim korisnicima i tvrtkama u kritičnim sektorima.

Napadači se često oslanjaju na ove kanale kako bi primijenili svoje ClickFix mamce.:

• Legitimne web stranice kompromitirane, u koje ubrizgavaju JavaScript okvire poput ClearFakea kako bi prikazali lažne obavijesti o ažuriranjima ili provjerama.
• Zlonamjerno oglašavanje (malvertising)posebno banneri i sponzorirani oglasi koji preusmjeravaju na lažne stranice za preuzimanje softvera ili validaciju preglednika.
• Tutorijali i videozapisi na YouTubeu ili TikToku, s navodnim trikovima za besplatno aktiviranje softvera ili otključavanje premium značajki.
• Lažni forumi za tehničku podršku i web-stranice koje oponašaju portale za pomoć, gdje se "preporučuje" izvršavanje naredbi za ispravljanje sistemskih pogrešaka.

U Latinskoj Americi već su dokumentirani slučajevi u kojima su bile kompromitirane službene web stranice i web stranice sveučilišta.Na primjer, web stranica Fakulteta industrijskog inženjerstva na Katoličkom sveučilištu u Čileu ili web stranica Policijskog stambenog fonda Perua, koja je na kraju svojim posjetiteljima prikazivala ClickFix tokove.

Američke sigurnosne agencije upozorile su na kampanje usmjerene na korisnike koji traže igre, PDF čitače, Web3 preglednike ili aplikacije za razmjenu porukaSve se to postiže iskorištavanjem svakodnevnih pretraživanja za preusmjeravanje na stranice koje implementiraju ClickFix.

Također su uočene kampanje koje se oslanjaju na navodne stranice Google Meeta, Zooma, DocuSigna, Okte, Facebooka ili Cloudflarea., gdje se prikazuje greška preglednika ili CAPTCHA provjera, prisiljavajući korisnika da slijedi redoslijed kopiranja i izvršavanja naredbi.

Najčešći zlonamjerni softver koji se distribuira putem ClickFixa

ClickFix rijetko je jedini dio napadaObično je to samo početni vektor koji omogućuje implementaciju višestupanjskog lanca infekcije sa širokim rasponom zlonamjernog softvera.

Među najistaknutijim obiteljima koje su uočene u nedavnim kampanjama su:

• Infostealeri poput Vidara, Lumme, Stealca, Danabota, Atomic Stealera ili Odyssey Stealera, specijaliziran za krađu podataka preglednika, kolačića, podataka za automatsko popunjavanje, kriptovalutnih novčanika, VPN i FTP podataka itd.
• RAT-ovi (trojanci za udaljeni pristup) kao što su NetSupport RAT ili ARECHCLIENT2 (SectopRAT)koji omogućuju napadačima kontrolu sustava, izvršavanje naredbi, krađu informacija i pokretanje sljedećih faza, uključujući ransomware.
• Napredni učitavači kao što su GHOSTPULSE, Latrodectus ili ClearFakekoji djeluju kao ljepilo, preuzimajući, dešifrirajući i učitavajući sljedeće dijelove u memoriju, često s vrlo složenim slojevima obfuskacije i enkripcije.
• Alati za krađu financijskih i korporativnih informacija, koji izdvajaju podatke iz obrazaca, klijenata e-pošte, aplikacija za razmjenu poruka i poslovnih aplikacija.

U aktivnim kampanjama tijekom 2024. i 2025. godine, ClickFix je viđen kako hrani složene lance.Na primjer, mamac ClickFix koji pokreće PowerShell preuzima ZIP datoteku koja sadrži legitimnu izvršnu datoteku (kao što je Java jp2launcher.exe) i zlonamjerni DLL, te bočnim učitavanjem na kraju pokreće NetSupport RAT na računalu.

Drugi uobičajeni slučaj je korištenje MSHTA-e s obfusciranim URL-ovima za domene poput iploggerco., koji oponašaju legitimne usluge skraćivanja ili registracije IP adresa; odatle se preuzima PowerShell skripta kodirana u Base64 koja na kraju oslobađa Lumma Stealer stagere ili slične.

Studije slučaja iz stvarnog života i istaknute kampanje s ClickFixom

Izvješća nekoliko timova za odgovor na incidente i sigurnosnih laboratorija identificirala su više vrlo aktivnih kampanja koje se vrte oko ClickFixa kao ulazne točke.

U poslovnom sektoru, značajan utjecaj uočen je u sektorima kao što su napredna tehnologija, financijske usluge, proizvodnja, maloprodaja i veleprodaja, javna uprava, profesionalne i pravne usluge, energetika i komunalne usluge, među mnogim drugima.

U kampanji iz svibnja 2025., napadači su koristili ClickFix za implementaciju NetSupport RAT-a. putem lažnih stranica koje su se predstavljale kao DocuSign i Okta, iskorištavajući infrastrukturu povezanu s ClearFake okvirom za ubrizgavanje JavaScripta koji je manipulirao međuspremnikom.

Tijekom ožujka i travnja 2025. dokumentiran je porast prometa prema domenama kojima upravlja obitelj Latrodectus., koji je počeo koristiti ClickFix kao početnu tehniku ​​pristupa: kompromitirani portal preusmjeravao je na lažnu verifikaciju, žrtva je pokretala PowerShell iz Win+R i to je preuzelo MSI koji je ispustio zlonamjerni DLL libcef.dll.

Paralelno s tim, otkrivene su kampanje tiposquattinga povezane s Lumma Stealerom.U tim napadima, žrtve su zamoljene da izvrše MSHTA naredbe koje su upućivale na domene koje oponašaju iplogger; te su naredbe preuzimale jako obfusirane PowerShell skripte koje su na kraju dekomprimirale pakete s izvršnim datotekama kao što su PartyContinued.exe i CAB sadržaj (Boat.pst) kako bi postavile AutoIt skriptni mehanizam odgovoran za pokretanje konačne verzije Lumme.

Elastic Security Labs je također opisao kampanje u kojima ClickFix služi kao početna udica za GHOSTPULSE.koji zauzvrat učitava međuprogram za .NET učitavanje i konačno ubrizgava ARECHCLIENT2 u memoriju, zaobilazeći mehanizme poput AMSI-ja putem spajanja i naprednog maskiranja.

U području krajnjih korisnika, nekoliko je dobavljača pokazalo pojednostavljene primjere napada ClickFix. u kojem stranica za "ažuriranje preglednika" ili lažni CAPTCHA tiho kopira skriptu u međuspremnik, a zatim prisiljava korisnika da je zalijepi u PowerShell s administratorskim privilegijama, što olakšava povezivanje s C2 infrastrukturom i preuzimanje izvršnih datoteka koje mijenjaju sustav.

Jedan posebno zabrinjavajući fenomen je dolazak ClickFixa na TikTok.Videozapisi generirani čak i uz pomoć umjetne inteligencije promoviraju "jednostavne metode" za aktiviranje besplatnih plaćenih verzija sustava Office, Spotify Premium ili programa za uređivanje, ali u stvarnosti navode korisnike na kopiranje i lijepljenje zlonamjernih naredbi koje instaliraju programe za kradljivce informacija poput Vidara ili Stealca.

Kako analitičari otkrivaju infekcije ClickFixom

Iako se korisniku može činiti kao crna magija, infekcije ClickFixom ostavljaju tehnički trag. koje timovi za lov na prijetnje i EDR-ovi mogu koristiti za otkrivanje incidenta.

U Windows okruženjima, jedna od točaka analize je ključ registra RunMRU., koji pohranjuje nedavno izvršene naredbe iz prozora Run (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analitičari pregledavaju ove unose tražeći sumnjive obrasce.: maskirane naredbe, korištenje PowerShella ili MSHTA-e s neobičnim URL-ovima, pozivi nepoznatim domenama ili reference na administrativne alate koje obični korisnik obično ne koristi.

Kada napadači koriste varijantu Win+X (izbornik za brzi pristup) za pokretanje PowerShella ili naredbenog retkaTrag se nalazi u telemetriji procesa: događaji stvaranja procesa (kao što je ID 4688 u sigurnosnom zapisniku sustava Windows) gdje explorer.exe pokreće powershell.exe odmah nakon pritiska na Win+X.

Korelacija s drugim događajima, kao što je pristup mapi %LocalAppData%\Microsoft\Windows\WinX\ ili sumnjive mrežne veze nakon tog izvršavanjaOvo pomaže u opisivanju tipičnog ponašanja ClickFix infekcije, posebno ako se procesi poput certutil.exe, mshta.exe ili rundll32.exe pojave odmah nakon toga.

Drugi vektor detekcije je zlouporaba međuspremnikaNapredna rješenja za filtriranje URL-ova i DNS sigurnost mogu identificirati JavaScript koji pokušava ubrizgati zlonamjerne naredbe u međuspremnik, što služi za blokiranje stranice prije nego što korisnik dovrši niz.

Što napadači pokušavaju postići tehnikom ClickFix?

Iza cijelog ovog društvenog inženjeringa krije se jasan cilj: ostvariti ekonomsku korist od ukradenih informacija., kako od pojedinačnih korisnika tako i od organizacija.

Infostealeri implementirani putem ClickFixa dizajnirani su za prikupljanje vjerodajnica, kolačića i osjetljivih podataka. pohranjeni u preglednicima, klijentima e-pošte, korporativnim aplikacijama ili kriptovalutnim novčanicima, kao i interni dokumenti i financijski podaci.

S tim materijalom, zlonamjerni akteri mogu provoditi više kriminalnih aktivnosti:

• Iznuđivačke tvrtkeprijetnja odavanjem povjerljivih informacija o organizaciji ili njezinim klijentima.
• Počiniti izravnu financijsku prijevaru iskorištavanjem kompromitiranih bankovnih računa, online sustava plaćanja ili kripto novčanika.
• Lažno predstavljanje tvrtke ili njezinih zaposlenika za izvršavanje prijevara protiv trećih strana, poput tipičnih prijevara izvršnih direktora ili napada BEC-a.
• Prodaja paketa vjerodajnica i podataka na dark webu koje će druge kriminalne skupine koristiti u budućim napadima.
• Za provođenje industrijske ili geopolitičke špijunaže kada je cilj specifična organizacija ili strateški sektor.

U mnogim dokumentiranim kampanjama, ClickFix je bio samo prvi korak prema većim napadimauključujući implementacija ransomwarea nakon krađe vjerodajnica, produljenog pristupa korporativnim mrežama ili korištenja kompromitirane infrastrukture kao odskočne daske za druge ciljeve.

Kako se korisnici i tvrtke mogu zaštititi od ClickFixa?

Obrana od ClickFixa kombinira tehnologiju, najbolje prakse i veliku osviještenost.jer slaba karika koju ova tehnika iskorištava je upravo ponašanje korisnika.

Na individualnoj razini postoji nekoliko vrlo jednostavnih zlatnih pravila što uvelike smanjuje rizik od pada:

• Nikada nemojte lijepiti kod u konzolu (PowerShell, cmd, terminal, konzolu preglednika) samo zato što vas to traži web stranica.koliko god to legitimno izgledalo.
• Budite oprezni s Cloudflare provjerama, CAPTCHA-ama ili stranicama za "ažuriranje preglednika" koje traže čudne korake. više od klika na okvir ili gumb.
• Uvijek ažurirajte svoj preglednik, operativni sustav i aplikacijeInstaliranje zakrpa iz službenih izvora, a ne s nasumičnih banera ili skočnih prozora.
• Aktivirajte dvofaktorsku autentifikaciju (2FA) na važnim računima, kako bi otežali život napadačima čak i ako uspiju ukrasti lozinku.

U korporativnom okruženju, osim ovih preporuka, tvrtke bi trebale ići korak dalje i tretiraju ClickFix kao specifičnu prijetnju unutar svoje sigurnosne strategije.

Neke ključne mjere za organizacije su:

• Ograničite korištenje alata za izvršavanje naredbi (PowerShell, cmd, MSHTA) putem grupnih pravila, popisa kontrole aplikacija ili EDR konfiguracija, tako da ih koriste samo tehnički profili i uvijek bilježe aktivnost.
• Implementirajte moderna antimalware i EDR rješenja s mogućnostima detekcije temeljenim na ponašanju, sposoban identificirati sumnjive obrasce izvršavanja čak i kada korisnik intervenira.
• Pratite mrežni promet i odlazne veze prema domenama s lošom reputacijomposebno prema uslugama skraćivanja URL-ova, novoregistriranim domenama ili neobičnim TLD-ovima.
• Povremeno pregledavajte artefakte kao što su RunMRU, PowerShell zapisnici i sigurnosni događaji za otkrivanje pokazatelja zlouporabe Win+R, Win+X ili administratorskih konzola.

Temeljni stup je kontinuirana i realistična obuka osobljaTeorijski tečaj nije dovoljan; korisno je provesti kontrolirane testove društvenog inženjeringa koji simuliraju kampanje tipa ClickFix, prijevare direktora, napredni phishing ili zlonamjerno oglašavanje.

Ove simulacije nam omogućuju mjerenje razine zrelosti radne snage u odnosu na ove tehnike.Prilagodite strategiju osvješćivanja, identificirajte područja većeg rizika i ojačajte kulturu „stanite i razmislite“ prije nego što slijedite sumnjive upute na web stranici ili u e-poruci.

Nadalje, ključno je da tvrtke budu spremne brzo reagirati na incidentimati jasne planove odgovora, specijalizirane timove ili pružatelje usluga te dobro definirane procese suzbijanja i iskorjenjivanja za slučaj otkrivanja mogućeg slučaja ClickFixa ili bilo kojeg drugog vektora kompromitiranja.

Širenje tehnike ClickFix jasno pokazuje da su napadači pronašli vrlo učinkovit način da korisnika pretvore u nesvjesnog suučesnika.I ne ustručavaju se kombinirati ga sa sofisticiranim zlonamjernim softverom, dinamičnim C2 infrastrukturama i masovnim kampanjama na društvenim mrežama ili tražilicama; razumijevanje kako funkcionira, prepoznavanje njegovih signala i jačanje i tehnologije i edukacije korisnika danas čini razliku između pretrpljenja ozbiljnog proboja ili pravovremenog zaustavljanja napada.