Kas yra „ClickFix“ ataka ir kaip ji veikia išsamiai?

Informatec Digital » Ištekliai » Kas yra „ClickFix“ ataka ir kaip ji veikia išsamiai?

„ClickFix“ atakos tapo viena madingiausių socialinės inžinerijos gudrybių. Kibernetinių nusikaltimų pasaulyje: kampanijos, kurios atrodo nekenksmingos, su netikrais naršyklės įspėjimais ar saugumo patikrinimais, bet galiausiai priverčia vartotoją beveik to nesuvokdamas paleisti kenkėjišką kodą savo kompiuteryje.

„ClickFix“ toli gražu nėra techninis kuriozas – jis jau buvo matytas realiose kampanijose Lotynų Amerikoje, Europoje ir kituose regionuose., platindami informacijos vagystes, nuotolinės prieigos Trojos arklius (RAT) ir sudėtingus įkrovos įrankius, tokius kaip GHOSTPULSE ar NetSupport RAT, ir netgi pasinaudodami „TikTok“ vaizdo įrašais ar „YouTube“ mokomosiomis programomis, kad pasiektų tūkstančius aukų.

Kas tiksliai yra „ClickFix“ ataka?

„ClickFix“ yra gana nauja socialinės inžinerijos technika (populiari nuo 2024 m.) kuris pagrįstas labai paprastu dalyku: įtikinti vartotoją nukopijuoti ir paleisti komandas savo sistemoje, kad „ištaisytų“ tariamą techninę problemą arba atliktų patikrinimą.

Užuot tiesiogiai atsisiuntusi kenkėjišką programą, kenkėjiška svetainė į iškarpinę įterpia scenarijų arba komandą. (pavyzdžiui, „PowerShell“ sistemoje „Windows“ arba MSHTA komandos) ir tada parodo nuoseklias instrukcijas aukai, kaip įklijuoti ir paleisti konsolėje, vykdymo lange arba terminale.

Ši taktika išnaudoja tai, ką daugelis tyrėjų vadina „patikros nuovargiu“.Vartotojai įpratę greitai spustelėti tokius mygtukus kaip „Aš esu žmogus“, „Ištaisyti“ arba „Atnaujinti dabar“, per daug neanalizuodami pranešimo, todėl jie yra labai pažeidžiami, kai ekranas atrodo kaip „Cloudflare“ patvirtinimas, „Google CAPTCHA“ arba „Google Meet“ ar „Zoom“ klaida.

Pavadinimas „ClickFix“ kilęs būtent nuo mygtukų, kurie paprastai būna ant šių masalų.su tokiais tekstais kaip „Ištaisyti“, „Kaip ištaisyti“, „Ištaisyti dabar“ arba „Išspręsti problemą“, kurie sudaro įspūdį, kad vartotojas taiko greitą sprendimą, kai iš tikrųjų jis kopijuoja ir paleidžia scenarijų, kuris atsisiunčia kenkėjišką programą.

Kaip veikia „ClickFix“ ataka, žingsnis po žingsnio

Nors yra daug variantų, beveik visos „ClickFix“ atakos laikosi bendros sekos. kuris apjungia pažeistas svetaines, kenkėjiškus „JavaScript“ scenarijus ir „priverstinę“ vartotojo intervenciją, kad būtų vykdomas kodas.

Pirmas žingsnis paprastai yra apsilankymas teisėtoje, bet pažeistoje svetainėje arba tiesiogiai kenkėjiškame puslapyje., kurį auka pasiekia per nuorodą sukčiavimo el. laiške, manipuliuotus paieškos sistemų rezultatus (kenkėjiška SEO), kenkėjiškas reklamas ar net iš „TikTok“ ar „YouTube“ vaizdo įrašo su tariamomis gudrybėmis, skirtomis aktyvuoti mokamą programinę įrangą.

Tame puslapyje rodomas netikras įspėjimas arba patvirtinimas, imituojantis techninę problemą.Klaida įkeliant dokumentą, naršyklės atnaujinimo klaida, mikrofono ar kameros problemos „Google Meet“ / „Zoom“ arba tariamas apsaugos nuo robotų patikrinimas, pvz., „Cloudflare“ ar „reCAPTCHA“, neleidžiantis tęsti, nebent kažkas būtų „ištaisyta“.

Kai tik vartotojas paspaudžia mygtuką „teisingai“ arba pažymi langelį „Aš esu žmogus“„JavaScript“ scenarijus automatiškai į iškarpinę įterpia kenkėjišką komandą, dažniausiai užmaskuotą „PowerShell“ arba MSHTA komandą, kuri tada iš nuotolinio serverio atsisiunčia kitą kenkėjišką programą.

Svetainėje pateikiamas išsamus vadovas, kaip aukai vykdyti tą komandą.Pavyzdžiui:

• Spustelėkite mygtuką „Pataisyti“, kad „nukopijuotumėte sprendimo kodą“..
• Paspauskite „Win + R“ klavišus, kad atidarytumėte langą „Vykdyti“ „Windows“.
• Paspauskite Ctrl+V, kad įklijuotumėte tai, kas yra iškarpinėje (kenkėjiška komanda).
• Paspauskite „Enter“, kad „ištaisytumėte problemą“ arba tęstumėte patvirtinimą.

Sudėtingesniuose variantuose triukas atliekamas naudojant „Win+X“ arba naršyklės konsolę.Vartotojui nurodoma atidaryti „PowerShell“ terminalą su administratoriaus teisėmis iš greitojo meniu („Win+X“) arba naudoti naršyklės konsolę (F12 arba Ctrl+Shift+I) ir ten įklijuoti „JavaScript“ kodo bloką arba „patikros“ funkciją.

Įvykdžius komandą, likusi infekcijos dalis vystosi fone.Scenarijus atsisiunčia kitas dalis iš komandų ir valdymo (C2) serverių, išpakuoja failus, vykdo kenkėjiškas DLL programas įkeldamas jas iš šoninio įkėlimo būdu ir galiausiai atmintyje arba diske įdiegia informacijos vagystes arba RAT virusus.

Kodėl „ClickFix“ taip sunku aptikti

Vienas didžiausių „ClickFix“ privalumų užpuolikams yra tai, kad jis apeina daugelį tradicinių saugumo kliūčių.nes užkrato grandinė, atrodo, prasideda nuo paties vartotojo, o ne nuo atsisiųsto failo ar klasikinio atakos atakos.

Nebūtinai tai įtartinas priedas ar vykdomasis failas, atsisiųstas tiesiai iš naršyklės.Tai reiškia, kad daugelis el. pašto filtrų, atsisiuntimų blokatorių ir URL reputacijos tikrinimo programų pirmajame etape nemato nieko akivaizdžiai kenkėjiško.

Komanda vykdoma iš sistemos „patikimo apvalkalo“, pvz., „PowerShell“, cmd.exe arba naršyklės konsolės.Tai suteikia kenkėjiškoms programoms teisėtos veiklos įspūdį ir apsunkina parašais pagrįstų antivirusinių programų bei kai kurių saugumo sprendimų, kurie nėra labai geri elgsenos analizėje, darbą.

Apsaugos produktai paprastai aptinka grėsmę po to, kai naudingoji apkrova jau įvykdyta. arba bando integruotis į saugomus procesus, modifikuoti svarbius failus, pvz., failą „hosts“, užtikrinti duomenų tvarumą arba bendrauti su C2 serveriu; tai yra, po išnaudojimo etape.

Iki to laiko užpuolikas galėjo gauti didelę prieigą prie sistemos.: privilegijų didinimas, kredencialų vagystė, judėjimas horizontaliai įmonės tinkle ar net bandymas išjungti antivirusinę ir kitus gynybos sluoksnius.

Kur „ClickFix“ naudojamas praktikoje: įprasti kanalai ir masalai

Įvairių saugumo laboratorijų tyrimai parodė, kad „ClickFix“ naudojama daugybėje kampanijų., skirta tiek namų vartotojams, tiek svarbiausių sektorių įmonėms.

Užpuolikai dažnai pasikliauja šiais kanalais, kad panaudotų savo „ClickFix“ masalus.:

• Pažeistos teisėtos svetainės, kurioje jie įterpia „JavaScript“ sistemas, tokias kaip „ClearFake“, kad būtų rodomi netikri atnaujinimų ar patvirtinimo pranešimai.
• Kenkėjiška reklama (netinkama reklama)ypač reklaminės juostos ir remiami skelbimai, nukreipiantys į netikrą programinės įrangos atsisiuntimo arba naršyklės patvirtinimo puslapius.
• Pamokos ir vaizdo įrašai „YouTube“ arba „TikTok“ platformose, su tariamomis gudrybėmis, kaip nemokamai aktyvuoti programinę įrangą arba atrakinti aukščiausios kokybės funkcijas.
• Netikri techninės pagalbos forumai ir svetainės, imituojančios pagalbos portalus, kur „rekomenduojama“ vykdyti komandas sistemos klaidoms ištaisyti.

Lotynų Amerikoje jau užfiksuota atvejų, kai buvo pažeistos oficialios ir universitetų svetainės.Pavyzdžiui, Čilės katalikiškojo universiteto Pramonės inžinerijos mokyklos svetainė arba Peru policijos būsto fondo svetainė, kurioje lankytojams buvo rodomi „ClickFix“ srautai.

JAV saugumo agentūros perspėjo apie kampanijas, nukreiptas prieš vartotojus, ieškančius žaidimų, PDF skaitytuvų, „Web3“ naršyklių ar susirašinėjimo programėlių.Visa tai daroma išnaudojant kasdienes paieškas, kad būtų nukreipiama į puslapius, kuriuose įdiegta „ClickFix“.

Taip pat pastebėtos kampanijos, kurios remiasi tariamais „Google Meet“, „Zoom“, „DocuSign“, „Okta“, „Facebook“ ar „Cloudflare“ puslapiais., kur rodoma naršyklės klaida arba CAPTCHA patvirtinimas, verčiantis vartotoją laikytis kopijavimo ir komandų vykdymo sekos.

Dažniausiai pasitaikanti kenkėjiška programa, platinama naudojant „ClickFix“

„ClickFix“ retai kada yra vienintelė atakos dalisPaprastai tai tiesiog pradinis vektorius, leidžiantis dislokuoti daugiapakopę užkrato grandinę su įvairiausiomis kenkėjiškomis programomis.

Tarp žymiausių šeimų, pastebėtų pastarųjų kampanijų metu, yra:

• Informacijos vagystės, tokios kaip Vidar, Lumma, Stealc, Danabot, Atomic Stealer arba Odyssey Stealer, specializuojasi naršyklės kredencialų, slapukų, automatinio pildymo duomenų, kriptovaliutų piniginių, VPN ir FTP kredencialų ir kt. vagystėje.
• RAT (nuotolinės prieigos Trojos arkliai), tokie kaip „NetSupport RAT“ arba „ARECHCLIENT2“ („SectopRAT“)kurios leidžia užpuolikams valdyti sistemą, vykdyti komandas, išgauti informaciją ir paleisti vėlesnius etapus, įskaitant išpirkos reikalaujančias programas.
• Pažangūs krautuvai, tokie kaip GHOSTPULSE, Latrodectus arba ClearFakekurie veikia kaip klijai, atsisiunčia, iššifruoja ir įkelia toliau nurodytas dalis į atmintį, dažnai naudodami labai sudėtingus užmaskavimo ir šifravimo sluoksnius.
• Įrankiai finansinei ir įmonės informacijai vogti, kurie išgauna duomenis iš formų, el. pašto klientų, pranešimų siuntimo ir verslo programų.

Aktyviose 2024 ir 2025 m. kampanijose buvo pastebėta, kad „ClickFix“ maitina sudėtingas grandines.Pavyzdžiui, „ClickFix“ masalas, paleidžiantis „PowerShell“, atsisiunčia ZIP failą, kuriame yra teisėtas vykdomasis failas (pvz., „Java“ jp2launcher.exe) ir kenkėjiška DLL, o per šoninį įkėlimą kompiuteryje paleidžia „NetSupport RAT“.

Kitas dažnas atvejis yra MSHTA naudojimas su užmaskuotais URL adresais į tokius domenus kaip „iploggerco“., kurios imituoja teisėtas IP sutrumpinimo arba registracijos paslaugas; iš ten atsisiunčiamas „Base64“ užkoduotas „PowerShell“ scenarijus, kuris išleidžia „Lumma Stealer“ scenarijus ar panašius.

Realaus gyvenimo atvejų analizės ir reklamuojamos kampanijos su „ClickFix“

Kelių incidentų reagavimo komandų ir saugumo laboratorijų ataskaitose nustatytos kelios labai aktyvios kampanijos. kurie sukasi apie „ClickFix“ kaip įėjimo tašką.

Verslo sektoriuje pastebimas pastebimas poveikis tokiuose sektoriuose kaip pažangios technologijos, finansinės paslaugos, gamyba, mažmeninė ir didmeninė prekyba, viešasis administravimas, profesinės ir teisinės paslaugos, energetika ir komunalinės paslaugos bei daugelis kitų.

2025 m. gegužės mėn. kampanijos metu užpuolikai panaudojo „ClickFix“, kad įdiegtų „NetSupport RAT“ virusą. per netikrus puslapius, kurie apsimetinėjo „DocuSign“ ir „Okta“, pasinaudodami su „ClearFake“ sistema susijusia infrastruktūra, kad įterptų „JavaScript“ kodą, kuris manipuliavo iškarpine.

2025 m. kovo ir balandžio mėn. buvo užfiksuotas padidėjęs srautas į Latrodectus šeimos kontroliuojamus domenus., kuri pradėjo naudoti „ClickFix“ kaip pradinę prieigos techniką: pažeistas portalas nukreipė į netikrą patvirtinimą, auka paleido „PowerShell“ iš „Win+R“, ir ši atsisiuntė MSI failą, kuriame buvo įdiegta kenkėjiška DLL libcef.dll.

Lygiagrečiai buvo aptiktos su „Lumma Stealer“ susijusios spausdinimo klaidinimo kampanijos.Šių atakų metu aukų buvo prašoma vykdyti MSHTA komandas, kurios nukreipė į domenus, imituojančius „iplogger“; šios komandos atsisiuntė labai užmaskuotus „PowerShell“ scenarijus, kurie galiausiai išskleisdavo paketus su vykdomaisiais failais, tokiais kaip „PartyContinued.exe“ ir CAB turiniu (Boat.pst), kad sukurtų „AutoIt“ scenarijų variklį, atsakingą už galutinės „Lumma“ versijos paleidimą.

„Elastic Security Labs“ taip pat aprašė kampanijas, kuriose „ClickFix“ tarnauja kaip pradinis „GHOSTPULSE“ kabliukas.kuris savo ruožtu įkelia tarpinį .NET įkroviklį ir galiausiai į atmintį įterpia ARECHCLIENT2, apeidamas tokius mechanizmus kaip AMSI, naudodamas užkabinimą ir išplėstinę obfuskaciją.

Galutinių vartotojų srityje keli pardavėjai pateikė supaprastintus „ClickFix“ atakos pavyzdžius. kuriame „naršyklės atnaujinimo“ puslapis arba netikra CAPTCHA tyliai nukopijuoja scenarijų į iškarpinę ir priverčia vartotoją jį įklijuoti į „PowerShell“ su administratoriaus teisėmis, taip palengvinant prisijungimą prie C2 infrastruktūros ir sistemos modifikavimo vykdomųjų failų atsisiuntimą.

Vienas ypač nerimą keliantis reiškinys yra „ClickFix“ atsiradimas „TikTok“ platformoje.Net ir naudojant dirbtinį intelektą sukurti vaizdo įrašai reklamuoja „paprastus metodus“, kaip aktyvuoti nemokamas mokamas „Office“, „Spotify Premium“ ar redagavimo programų versijas, tačiau iš tikrųjų jie nukreipia vartotojus kopijuoti ir įklijuoti kenkėjiškas komandas, kurios įdiegia informacijos vagystes, tokias kaip „Vidar“ ar „Stealc“.

Kaip analitikai aptinka „ClickFix“ infekcijas

Nors vartotojui tai gali atrodyti kaip juodoji magija, „ClickFix“ infekcijos palieka techninius pėdsakus. kuriuos grėsmių paieškos komandos ir EDR gali naudoti incidentui aptikti.

„Windows“ aplinkose vienas iš analizės taškų yra „RunMRU“ registro raktas., kuriame saugomos paskutinės komandos, vykdytos iš lango „Vykdyti“ („Win+R“):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analitikai peržiūri šiuos įrašus ieškodami įtartinų modelių.: užmaskuotos komandos, „PowerShell“ arba MSHTA naudojimas su neįprastais URL adresais, iškvietimai į nežinomus domenus arba nuorodos į administravimo įrankius, kurių įprastas vartotojas paprastai nenaudoja.

Kai užpuolikai naudoja „Win+X“ variantą (greitos prieigos meniu), kad paleistų „PowerShell“ arba komandinę eilutęUžuominą galima rasti procesų telemetrijoje: procesų kūrimo įvykiuose (pvz., ID 4688 „Windows“ saugos žurnale), kur explorer.exe sukuria powershell.exe iškart paspaudus „Win+X“.

Koreliacija su kitais įvykiais, pvz., prieiga prie aplanko %LocalAppData%\Microsoft\Windows\WinX\ arba įtartini tinklo ryšiai po to vykdymoTai padeda apibūdinti tipišką „ClickFix“ infekcijos elgesį, ypač jei iškart po to atsiranda tokie procesai kaip certutil.exe, mshta.exe arba rundll32.exe.

Kitas aptikimo vektorius yra piktnaudžiavimas iškarpinėmisPažangūs URL filtravimo ir DNS saugumo sprendimai gali atpažinti „JavaScript“, kuris bando įterpti kenkėjiškas komandas į iškarpinės buferį, kad blokuotų puslapį, kol vartotojas neužbaigė sekos.

Ko užpuolikai bando pasiekti naudodami „ClickFix“ techniką?

Už visos šios socialinės inžinerijos slypi aiškus tikslas: gauti ekonominės naudos iš pavogtos informacijos.tiek iš individualių vartotojų, tiek iš organizacijų.

„ClickFix“ diegiami informacijos vagystės įrankiai yra skirti rinkti prisijungimo duomenis, slapukus ir neskelbtinus duomenis. saugomi naršyklėse, el. pašto programose, įmonių programose arba kriptovaliutų piniginėse, taip pat vidiniuose dokumentuose ir finansiniuose duomenyse.

Turėdami tą medžiagą, piktavaliai veikėjai gali vykdyti įvairias nusikalstamas veiklas.:

• Išpirkos išdavystės įmonėsgrasinant nutekinti konfidencialią informaciją apie organizaciją ar jos klientus.
• Padaryti tiesioginį finansinį sukčiavimą pasinaudojant pažeistomis banko sąskaitomis, internetinėmis mokėjimo sistemomis arba kriptovaliutų piniginėmis.
• Apsimetimas įmonės ar jos darbuotojų vardu vykdyti sukčiavimą prieš trečiąsias šalis, pavyzdžiui, tipinį generalinio direktoriaus sukčiavimą ar BEC atakas.
• Parduodant įgaliojimus ir duomenų paketus tamsiajame internete kuriuos kitos nusikalstamos grupuotės naudos būsimuose išpuoliuose.
• Vykdyti pramoninį ar geopolitinį šnipinėjimą kai taikinys yra konkreti organizacija arba strateginis sektorius.

Daugelyje dokumentuotų kampanijų „ClickFix“ buvo tik pirmas žingsnis link didesnių atakų., įskaitant išpirkos reikalaujančių programų diegimas po prisijungimo duomenų vagystės, ilgalaikės prieigos prie įmonės tinklų arba pažeistos infrastruktūros panaudojimo kaip atspirties taško siekiant kitų tikslų.

Kaip vartotojai ir įmonės gali apsisaugoti nuo „ClickFix“?

Apsauga nuo „ClickFix“ apjungia technologijas, geriausią praktiką ir didelį sąmoningumą.nes silpnoji grandis, kurią išnaudoja ši technika, yra būtent vartotojo elgesys.

Individualiu lygmeniu yra keletas labai paprastų auksinių taisyklių kurie žymiai sumažina kritimo riziką:

• Niekada neklijuokite kodo į konsolę („PowerShell“, „cmd“, terminalą, naršyklės konsolę) vien todėl, kad to prašo svetainė.kad ir kaip teisėta tai atrodytų.
• Saugokitės „Cloudflare“ patvirtinimų, CAPTCHA ar „naršyklės atnaujinimo“ puslapių, kuriuose prašoma atlikti keistus veiksmus. daugiau nei spustelėti langelį ar mygtuką.
• Nuolat atnaujinkite savo naršyklę, operacinę sistemą ir programasPataisų diegimas iš oficialių šaltinių, o ne iš atsitiktinių reklaminių skydelių ar iššokančių langų.
• Įjunkite dviejų veiksnių autentifikavimą (2FA) svarbiose paskyrose, kad užpuolikams būtų sunkiau, net jei jiems pavyktų pavogti slaptažodį.

Įmonių aplinkoje, be šių rekomendacijų, įmonės turėtų žengti dar vieną žingsnį toliau ir savo saugumo strategijoje „ClickFix“ įvardija kaip konkrečią grėsmę.

Kai kurios pagrindinės organizacijos priemonės yra:

• Apriboti komandų vykdymo įrankių („PowerShell“, „cmd“, MSHTA) naudojimą naudojant grupių strategijas, programų valdymo sąrašus arba EDR konfigūracijas, kad jas naudotų tik techniniai profiliai ir visada registruotų veiklą.
• Įdiegti modernius kenkėjiškų programų apsaugos ir EDR sprendimus su elgesiu pagrįstomis aptikimo galimybėmis, gebančiomis nustatyti įtartinus vykdymo modelius net ir tada, kai vartotojas įsikiša.
• Stebėkite tinklo srautą ir išeinančius ryšius su prastos reputacijos domenaisypač URL trumpinimo paslaugų, naujai registruotų domenų ar neįprastų aukščiausio lygio domenų atžvilgiu.
• Periodiškai peržiūrėkite tokius artefaktus kaip „RunMRU“, „PowerShell“ žurnalus ir saugos įvykius aptikti „Win+R“, „Win+X“ arba administravimo konsolių netinkamo naudojimo požymius.

Esminis ramstis yra nuolatinis ir realistiškas darbuotojų mokymasTeorinio kurso nepakanka; naudinga atlikti kontroliuojamus socialinės inžinerijos testus, imituojančius „ClickFix“ tipo kampanijas, generalinio direktoriaus sukčiavimą, sudėtingą sukčiavimą sukčiavimu ar kenkėjišką reklamą.

Šios simuliacijos leidžia mums įvertinti darbo jėgos brandos lygį šių metodų atžvilgiu.Koreguokite informavimo strategiją, nustatykite didesnės rizikos sritis ir sustiprinkite „sustokite ir pagalvokite“ kultūrą prieš vykdydami įtartinus nurodymus svetainėje ar el. laiške.

Be to, labai svarbu, kad įmonės būtų pasirengusios greitai reaguoti į incidentą.turėti aiškius reagavimo planus, specializuotas komandas ar paslaugų teikėjus ir aiškiai apibrėžtus izoliavimo bei likvidavimo procesus, jei aptinkamas galimas „ClickFix“ atvejis ar bet koks kitas kompromituojantis virusas.

„ClickFix“ technikos paplitimas aiškiai rodo, kad užpuolikai rado labai veiksmingą būdą paversti vartotoją nesąmoningu bendrininku.Ir jie nedvejodami derina tai su sudėtinga kenkėjiška programine įranga, dinamiška C2 infrastruktūra ir didžiulėmis kampanijomis socialiniuose tinkluose ar paieškos sistemose; supratimas, kaip tai veikia, jo signalų atpažinimas ir technologijų bei vartotojų švietimo stiprinimas šiandien lemia skirtumą tarp rimto įsilaužimo ir atakos sustabdymo laiku.

Susijęs straipsnis:

Kaip apsisaugoti nuo „Interlock“ ir „Warlock“ išpirkos programų: taktinis ir praktinis vadovas