Apakah serangan ClickFix dan bagaimana ia berfungsi secara terperinci?

Informatec Digital » Sumber » Apakah serangan ClickFix dan bagaimana ia berfungsi secara terperinci?

Serangan ClickFix telah menjadi salah satu helah kejuruteraan sosial yang paling bergaya Dalam dunia jenayah siber: kempen yang kelihatan tidak berbahaya, dengan amaran penyemak imbas palsu atau semakan keselamatan, tetapi akhirnya menyebabkan pengguna menjalankan kod hasad pada komputer mereka, hampir tanpa disedari.

Jauh daripada rasa ingin tahu teknikal, ClickFix telah pun dilihat dalam kempen sebenar di Amerika Latin, Eropah dan kawasan lain, mengedarkan pencuri maklumat, trojan akses jauh (RAT) dan pemuat kompleks seperti GHOSTPULSE atau NetSupport RAT, malah mengambil kesempatan daripada video TikTok atau tutorial YouTube untuk menjangkau ribuan mangsa.

Apakah sebenarnya serangan ClickFix?

ClickFix ialah teknik kejuruteraan sosial yang agak baru (dipopularkan sejak 2024) yang berdasarkan sesuatu yang sangat mudah: meyakinkan pengguna untuk menyalin dan menjalankan arahan pada sistem mereka sendiri untuk "menyelesaikan" masalah teknikal yang sepatutnya atau menyelesaikan pengesahan.

Daripada memuat turun program hasad secara langsung, tapak web hasad menyuntik skrip atau arahan ke dalam papan keratan. (contohnya, PowerShell dalam perintah Windows atau MSHTA) dan kemudian menunjukkan arahan langkah demi langkah untuk mangsa menampal dan menjalankannya dalam konsol, kotak Jalankan atau terminal.

Taktik ini mengeksploitasi apa yang dipanggil oleh ramai penyelidik sebagai "keletihan pengesahan"Pengguna sudah terbiasa dengan pantas mengklik butang seperti "Saya manusia", "Betulkan" atau "Kemas kini" tanpa terlalu banyak menganalisis mesej, yang menjadikan mereka sangat terdedah apabila skrin kelihatan seperti pengesahan Cloudflare, Google CAPTCHA atau ralat Google Meet atau Zoom.

Nama ClickFix datang tepat daripada butang yang biasanya muncul pada gewang inidengan teks seperti "Betulkan", "Cara membetulkannya", "Betulkan sekarang" atau "Selesaikan isu", yang memberikan gambaran bahawa pengguna menggunakan penyelesaian pantas, sedangkan sebenarnya mereka menyalin dan melancarkan skrip yang memuat turun perisian hasad.

Cara serangan ClickFix berfungsi langkah demi langkah

Walaupun terdapat banyak variasi, hampir semua serangan ClickFix mengikut urutan biasa. yang menggabungkan tapak web yang terjejas, skrip JavaScript yang berniat jahat dan campur tangan "terpaksa" pengguna untuk melaksanakan kod tersebut.

Langkah pertama biasanya melawati tapak web yang sah yang telah dikompromi atau halaman berniat jahat secara langsung., yang mangsa capai daripada pautan dalam e-mel pancingan data, hasil enjin carian yang dimanipulasi (SEO berniat jahat), iklan berniat jahat atau pun daripada video TikTok atau YouTube dengan kononnya helah untuk mengaktifkan perisian berbayar.

Halaman itu memaparkan amaran atau pengesahan palsu yang menyerupai masalah teknikal.: ralat memuatkan dokumen, kegagalan kemas kini penyemak imbas, masalah mikrofon atau kamera dalam Google Meet/Zoom atau pemeriksaan anti-bot yang sepatutnya seperti Cloudflare atau reCAPTCHA yang menghalang anda daripada meneruskan melainkan sesuatu telah "dibetulkan".

Sebaik sahaja pengguna menekan butang "betul" atau menyemak kotak "Saya manusia".Skrip JavaScript secara automatik menyuntik perintah berniat jahat ke dalam papan keratan, biasanya perintah PowerShell atau MSHTA yang dikelirukan yang kemudiannya akan memuat turun satu lagi perisian hasad daripada pelayan jauh.

Laman web memaparkan panduan terperinci untuk mangsa melaksanakan arahan itu., sebagai contoh:

• Klik butang "Betulkan" untuk "menyalin kod penyelesaian".
• Tekan kekunci Win+R untuk membuka tetingkap Run pada Windows.
• Tekan Ctrl+V untuk menampal apa yang ada pada papan keratan (perintah jahat).
• Tekan Enter untuk "menyelesaikan masalah" atau teruskan dengan pengesahan.

Dalam variasi yang lebih maju, silap mata dilakukan dengan Win+X atau dengan konsol penyemak imbasPengguna diarahkan untuk membuka terminal PowerShell dengan keistimewaan pentadbir daripada menu pantas (Win+X) atau menggunakan konsol penyemak imbas (F12 atau Ctrl+Shift+I) dan menampal blok kod JavaScript atau fungsi "pengesahan" di sana.

Selepas arahan itu dilaksanakan, jangkitan selebihnya berkembang di latar belakang.Skrip memuat turun bahagian lain daripada pelayan arahan dan kawalan (C2), menyahmampat fail, melaksanakan DLL berniat jahat dengan memuatkan sisi, dan akhirnya memasang pencuri maklumat atau RAT dalam memori atau pada cakera.

Mengapa ClickFix sangat sukar untuk dikesan

Salah satu kelebihan hebat ClickFix untuk penyerang ialah ia memintas banyak halangan keselamatan tradisional.kerana rantaian jangkitan nampaknya bermula daripada pengguna itu sendiri dan bukan daripada fail yang dimuat turun atau eksploitasi klasik.

Tidak semestinya terdapat lampiran yang mencurigakan atau boleh laku yang dimuat turun terus daripada penyemak imbas.Ini bermakna bahawa banyak penapis e-mel, penyekat muat turun dan semakan reputasi URL tidak melihat apa-apa yang berniat jahat secara terang-terangan dalam fasa pertama itu.

Perintah tersebut dilaksanakan daripada "cangkang dipercayai" sistem, seperti PowerShell, cmd.exe atau konsol penyemak imbas.Ini memberikan perisian hasad rupa aktiviti yang sah dan merumitkan kerja program antivirus berasaskan tandatangan dan beberapa penyelesaian keselamatan yang tidak begitu mahir dalam analisis tingkah laku.

Produk keselamatan biasanya mengesan ancaman selepas muatan telah dilaksanakan. atau cuba untuk menyepadukan ke dalam proses yang dilindungi, mengubah suai fail kritikal seperti fail hos, mewujudkan kegigihan atau berkomunikasi dengan pelayan C2; iaitu dalam fasa pasca eksploitasi.

Pada masa itu, penyerang mungkin telah mendapat akses yang ketara kepada sistem.: meningkatkan keistimewaan, mencuri bukti kelayakan, bergerak ke sisi melalui rangkaian korporat, atau bahkan cuba melumpuhkan antivirus dan lapisan pertahanan lain.

Di mana ClickFix ​​dilihat dalam amalan: saluran dan gewang biasa

Siasatan oleh pelbagai makmal keselamatan telah menunjukkan bahawa ClickFix digunakan dalam rangkaian besar kempen, ditujukan kepada pengguna rumah dan syarikat dalam sektor kritikal.

Penyerang sering bergantung pada saluran ini untuk menggunakan gewang ClickFix mereka:

• Laman web yang sah terjejas, di mana mereka menyuntik rangka kerja JavaScript seperti ClearFake untuk memaparkan kemas kini palsu atau notis pengesahan.
• Pengiklanan berniat jahat (malvertising)terutamanya sepanduk dan iklan tajaan yang mengubah hala ke halaman muat turun perisian palsu atau halaman pengesahan penyemak imbas.
• Tutorial dan video di YouTube atau TikTok, dengan helah yang didakwa untuk mengaktifkan perisian atau membuka kunci ciri premium secara percuma.
• Forum sokongan teknikal palsu dan tapak web yang meniru portal bantuan, di mana ia adalah "disyorkan" untuk menjalankan arahan untuk membetulkan ralat sistem.

Di Amerika Latin, kes telah didokumenkan di mana tapak web rasmi dan universiti telah dikompromi.Contohnya, tapak web Sekolah Kejuruteraan Perindustrian di Universiti Katolik Chile atau tapak web Tabung Perumahan Polis Peru, yang akhirnya menunjukkan aliran ClickFix kepada pelawat mereka.

Agensi keselamatan AS telah memberi amaran tentang kempen yang menyasarkan pengguna yang mencari permainan, pembaca PDF, penyemak imbas Web3 atau apl pemesejanSemua ini dilakukan dengan mengeksploitasi carian setiap hari untuk mengubah hala ke halaman yang melaksanakan ClickFix.

Kempen juga telah diperhatikan yang bergantung pada halaman Google Meet, Zoom, DocuSign, Okta, Facebook atau Cloudflare yang sepatutnya., di mana ralat penyemak imbas atau pengesahan CAPTCHA dipaparkan, memaksa pengguna mengikut urutan penyalinan dan pelaksanaan arahan.

Perisian hasad yang paling biasa diedarkan dengan ClickFix

ClickFix jarang sekali menjadi satu-satunya seranganIa biasanya hanya vektor awal yang membenarkan penggunaan rantaian jangkitan berbilang peringkat dengan pelbagai jenis perisian hasad.

Antara keluarga yang paling menonjol diperhatikan dalam kempen baru-baru ini ialah:

• Pencurian maklumat seperti Vidar, Lumma, Stealc, Danabot, Atomic Stealer atau Odyssey Stealer, pakar dalam mencuri bukti kelayakan penyemak imbas, kuki, data autolengkap, dompet mata wang kripto, bukti kelayakan VPN dan FTP, dsb.
• RAT (trojan akses jauh) seperti NetSupport RAT atau ARECHCLIENT2 (SectopRAT)yang membenarkan penyerang mengawal sistem, melaksanakan arahan, mengekstrak maklumat dan melancarkan fasa berikutnya, termasuk perisian tebusan.
• Pemuat lanjutan seperti GHOSTPULSE, Latrodectus atau ClearFakeyang bertindak sebagai gam, memuat turun, menyahsulit dan memuatkan kepingan berikut ke dalam ingatan, selalunya dengan lapisan pengeliruan dan penyulitan yang sangat rumit.
• Alat untuk mencuri maklumat kewangan dan korporat, yang mengekstrak data daripada borang, pelanggan e-mel, pemesejan dan aplikasi perniagaan.

Dalam kempen aktif sepanjang 2024 dan 2025, ClickFix telah dilihat menyuap rantaian yang kompleks.Contohnya, umpan ClickFix yang melancarkan PowerShell memuat turun fail ZIP yang mengandungi boleh laku yang sah (seperti jp2launcher.exe Java) dan DLL berniat jahat, dan melalui pemuatan sisi akhirnya menjalankan NetSupport RAT pada komputer.

Satu lagi kes biasa ialah penggunaan MSHTA dengan URL yang dikaburkan ke domain seperti iploggerco, yang meniru perkhidmatan pemendekan atau pendaftaran IP yang sah; dari situ skrip PowerShell berkod Base64 dimuat turun yang akhirnya mengeluarkan pentas Lumma Stealer atau yang serupa.

Kajian kes kehidupan sebenar dan kempen yang ditampilkan dengan ClickFix

Laporan daripada beberapa pasukan tindak balas insiden dan makmal keselamatan telah mengenal pasti pelbagai kempen yang sangat aktif yang berkisar tentang ClickFix sebagai titik masuk.

Dalam sektor perniagaan, kesan ketara telah diperhatikan dalam sektor seperti teknologi canggih, perkhidmatan kewangan, pembuatan, perdagangan runcit dan borong, pentadbiran awam, perkhidmatan profesional dan perundangan, tenaga dan utiliti, antara lain.

Dalam kempen Mei 2025, penyerang menggunakan ClickFix untuk menggunakan NetSupport RAT melalui halaman palsu yang menyamar sebagai DocuSign dan Okta, mengambil kesempatan daripada infrastruktur yang dikaitkan dengan rangka kerja ClearFake untuk menyuntik JavaScript yang memanipulasi papan keratan.

Pada bulan Mac dan April 2025, peningkatan trafik ke domain yang dikawal oleh keluarga Latrodectus telah didokumenkan., yang mula menggunakan ClickFix sebagai teknik akses awal: portal yang terjejas dihalakan semula kepada pengesahan palsu, mangsa menjalankan PowerShell daripada Win+R dan ini memuat turun MSI yang menggugurkan DLL libcef.dll yang berniat jahat.

Secara selari, kempen typosquatting yang dikaitkan dengan Lumma Stealer telah dikesan.Dalam serangan ini, mangsa diminta untuk melaksanakan arahan MSHTA yang menunjuk kepada domain yang meniru iplogger; arahan ini memuat turun skrip PowerShell yang banyak dikelirukan yang akhirnya menyahmampat pakej dengan boleh laku seperti kandungan PartyContinued.exe dan CAB (Boat.pst) untuk menyediakan enjin skrip AutoIt yang bertanggungjawab melancarkan versi akhir Lumma.

Elastic Security Labs juga telah menerangkan kempen yang ClickFix berfungsi sebagai cangkuk awal untuk GHOSTPULSEyang seterusnya memuatkan pemuat .NET perantaraan dan akhirnya menyuntik ARECHCLIENT2 ke dalam ingatan, memintas mekanisme seperti AMSI melalui pengait dan pengeliruan lanjutan.

Dalam arena pengguna akhir, beberapa vendor telah menunjukkan contoh mudah serangan ClickFix di mana halaman "kemas kini penyemak imbas" atau CAPTCHA palsu menyalin skrip ke papan keratan secara senyap dan kemudian memaksa pengguna untuk menampalnya ke PowerShell dengan keistimewaan pentadbir, menjadikannya lebih mudah untuk menyambung ke infrastruktur C2 dan memuat turun boleh laku yang mengubah suai sistem.

Satu fenomena yang amat membimbangkan ialah ketibaan ClickFix di TikTok.Video yang dijana walaupun dengan AI menggalakkan "kaedah mudah" untuk mengaktifkan versi berbayar percuma Office, Spotify Premium atau program pengeditan, tetapi sebenarnya ia membimbing pengguna untuk menyalin dan menampal perintah berniat jahat yang memasang pencuri maklumat seperti Vidar atau Stealc.

Cara penganalisis mengesan jangkitan ClickFix

Walaupun ia mungkin kelihatan seperti sihir hitam kepada pengguna, jangkitan ClickFix meninggalkan kesan teknikal. yang boleh digunakan oleh pasukan pemburu ancaman dan EDR untuk mengesan kejadian itu.

Dalam persekitaran Windows, salah satu titik analisis ialah kunci pendaftaran RunMRU., yang menyimpan arahan terbaru yang dilaksanakan dari tetingkap Run (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Penganalisis menyemak entri ini mencari corak yang mencurigakan.: perintah yang dikelirukan, penggunaan PowerShell atau MSHTA dengan URL luar biasa, panggilan ke domain yang tidak diketahui atau rujukan kepada alat pentadbiran yang biasanya tidak digunakan oleh pengguna biasa.

Apabila penyerang menggunakan varian Win+X (menu akses pantas) untuk melancarkan PowerShell atau Command PromptPetunjuk ditemui dalam telemetri proses: peristiwa penciptaan proses (seperti ID 4688 dalam log keselamatan Windows) di mana explorer.exe menghasilkan powershell.exe sejurus selepas menekan Win+X.

Kaitan dengan acara lain, seperti akses kepada folder %LocalAppData%\Microsoft\Windows\WinX\ atau sambungan rangkaian yang mencurigakan selepas pelaksanaan ituIni membantu untuk menggariskan tingkah laku biasa jangkitan ClickFix, terutamanya jika proses seperti certutil.exe, mshta.exe atau rundll32.exe muncul serta-merta selepas itu.

Satu lagi vektor pengesanan ialah penyalahgunaan papan keratanPenapisan URL lanjutan dan penyelesaian keselamatan DNS boleh mengenal pasti JavaScript yang cuba menyuntik perintah berniat jahat ke dalam penimbal papan keratan, yang berfungsi untuk menyekat halaman sebelum pengguna melengkapkan jujukan.

Apakah yang cuba dicapai oleh penyerang dengan teknik ClickFix?

Di sebalik semua kejuruteraan sosial ini terdapat objektif yang jelas: untuk mendapatkan faedah ekonomi daripada maklumat yang dicuri., kedua-duanya daripada pengguna individu dan organisasi.

Pencurian maklumat yang digunakan melalui ClickFix direka untuk mengumpulkan bukti kelayakan, kuki dan data sensitif. disimpan dalam penyemak imbas, pelanggan e-mel, aplikasi korporat atau dompet mata wang kripto, serta dokumen dalaman dan data kewangan.

Dengan bahan itu, pelaku berniat jahat boleh melakukan pelbagai aktiviti jenayah:

• Peras ugut syarikatmengancam untuk membocorkan maklumat sulit tentang organisasi atau pelanggannya.
• Untuk melakukan penipuan kewangan secara langsung dengan mengeksploitasi akaun bank yang terjejas, sistem pembayaran dalam talian atau dompet crypto.
• Menyamar sebagai syarikat atau pekerjanya untuk menjalankan penipuan terhadap pihak ketiga, seperti penipuan CEO biasa atau serangan BEC.
• Menjual bukti kelayakan dan pakej data di web gelap yang akan digunakan oleh kumpulan penjenayah lain dalam serangan akan datang.
• Untuk menjalankan pengintipan industri atau geopolitik apabila sasaran adalah organisasi tertentu atau sektor strategik.

Dalam banyak kempen yang didokumenkan, ClickFix hanyalah langkah pertama ke arah serangan yang lebih besartermasuk penyebaran perisian tebusan selepas pencurian kelayakan, akses berpanjangan kepada rangkaian korporat, atau penggunaan infrastruktur yang terjejas sebagai batu loncatan kepada objektif lain.

Bagaimanakah pengguna dan syarikat boleh melindungi diri mereka daripada ClickFix?

Bertahan daripada ClickFix menggabungkan teknologi, amalan terbaik dan banyak kesedaran.kerana pautan lemah yang dieksploitasi oleh teknik ini adalah tingkah laku pengguna.

Pada peringkat individu, terdapat beberapa peraturan emas yang sangat mudah yang sangat mengurangkan risiko jatuh:

• Jangan sekali-kali tampal kod ke dalam konsol (PowerShell, cmd, terminal, konsol penyemak imbas) hanya kerana tapak web meminta anda.walau bagaimanapun ia kelihatan sah.
• Berhati-hati dengan pengesahan Cloudflare, CAPTCHA atau halaman "kemas kini penyemak imbas" yang meminta langkah pelik. selain daripada mengklik pada kotak atau butang.
• Pastikan penyemak imbas, sistem pengendalian dan aplikasi anda sentiasa terkiniMemasang patch daripada sumber rasmi dan bukan daripada sepanduk rawak atau pop timbul.
• Aktifkan pengesahan dua faktor (2FA) pada akaun penting, untuk menjadikan hidup lebih sukar bagi penyerang walaupun mereka berjaya mencuri kata laluan.

Dalam persekitaran korporat, sebagai tambahan kepada cadangan ini, syarikat harus melangkah lebih jauh dan menangani ClickFix sebagai ancaman khusus dalam strategi keselamatan mereka.

Beberapa langkah utama untuk organisasi ialah:

• Hadkan penggunaan alat pelaksanaan arahan (PowerShell, cmd, MSHTA) melalui dasar kumpulan, senarai kawalan aplikasi atau konfigurasi EDR, supaya hanya profil teknikal menggunakannya dan sentiasa mengelog aktiviti.
• Laksanakan penyelesaian antimalware dan EDR moden dengan keupayaan pengesanan berasaskan tingkah laku, dapat mengenal pasti corak pelaksanaan yang mencurigakan walaupun apabila pengguna campur tangan.
• Pantau trafik rangkaian dan sambungan keluar ke domain dengan reputasi burukterutamanya terhadap perkhidmatan memendekkan URL, domain yang baru didaftarkan atau TLD yang luar biasa.
• Semak artifak seperti RunMRU, log PowerShell dan acara keselamatan secara berkala untuk mengesan penunjuk penyalahgunaan Win+R, Win+X atau konsol pentadbiran.

Tunjang asas ialah latihan berterusan dan realistik kakitanganKursus teori tidak mencukupi; adalah berguna untuk menjalankan ujian kejuruteraan sosial terkawal yang mensimulasikan kempen jenis ClickFix, penipuan CEO, pancingan data lanjutan atau malvertising.

Simulasi ini membolehkan kami mengukur tahap kematangan tenaga kerja berhubung dengan teknik ini.Laraskan strategi kesedaran, kenal pasti kawasan berisiko lebih besar dan perkukuh budaya "berhenti dan berfikir" sebelum mengikuti arahan yang mencurigakan di tapak web atau dalam e-mel.

Tambahan pula, adalah penting bagi syarikat bersedia untuk bertindak balas dengan cepat terhadap sesuatu kejadian: mempunyai pelan tindak balas yang jelas, pasukan atau penyedia khusus, dan proses pembendungan dan pembasmian yang jelas di tempat apabila kemungkinan kes ClickFix atau mana-mana vektor kompromi lain dikesan.

Percambahan teknik ClickFix menjelaskan bahawa penyerang telah menemui cara yang sangat berkesan untuk menjadikan pengguna sebagai rakan sejenayah tanpa disedari.Dan mereka tidak teragak-agak untuk menggabungkannya dengan perisian hasad yang canggih, infrastruktur C2 dinamik dan kempen besar-besaran di rangkaian sosial atau enjin carian; memahami cara ia berfungsi, mengiktiraf isyaratnya dan mengukuhkan kedua-dua teknologi dan pendidikan pengguna membuat perbezaan hari ini antara mengalami pelanggaran serius atau memotong serangan tepat pada masanya.

artikel berkaitan:

Cara melindungi diri anda daripada perisian tebusan Interlock dan Warlock: panduan taktikal dan praktikal