Hva er et ClickFix-angrep, og hvordan fungerer det i detalj?

Informatec Digital » Ressurser » Hva er et ClickFix-angrep, og hvordan fungerer det i detalj?

ClickFix-angrep har blitt et av de mest trendy triksene innen sosial manipulering. I nettkriminalitetens verden: kampanjer som virker harmløse, med falske nettleseradvarsler eller sikkerhetskontroller, men som ender opp med å føre til at brukeren kjører skadelig kode på datamaskinen sin, nesten uten å innse det.

ClickFix er langt fra en teknisk kuriositet, men har allerede blitt sett i virkelige kampanjer i Latin-Amerika, Europa og andre regioner., distribuere infostealere, trojanere for fjerntilgang (RAT-er) og komplekse lastere som GHOSTPULSE eller NetSupport RAT, og til og med utnytte TikTok-videoer eller YouTube-opplæringer for å nå tusenvis av ofre.

Hva er egentlig et ClickFix-angrep?

ClickFix er en relativt ny sosial manipuleringsteknikk (populær siden 2024) som er basert på noe veldig enkelt: å overbevise brukeren om å kopiere og kjøre kommandoer på sitt eget system for å "fikse" et antatt teknisk problem eller fullføre en verifisering.

I stedet for å laste ned et skadelig program direkte, injiserer det skadelige nettstedet et skript eller en kommando i utklippstavlen. (for eksempel PowerShell i Windows eller MSHTA-kommandoer) og viser deretter trinnvise instruksjoner for offeret om å lime den inn og kjøre den i en konsoll, Kjør-boks eller terminal.

Denne taktikken utnytter det mange forskere kaller «verifiseringstretthet».Brukere er vant til å raskt klikke på knapper som «Jeg er et menneske», «Fiks det» eller «Oppdater nå» uten å analysere meldingen for mye, noe som gjør dem svært sårbare når skjermen ser ut som en Cloudflare-verifisering, en Google CAPTCHA eller en Google Meet- eller Zoom-feil.

Navnet ClickFix kommer nettopp fra knappene som vanligvis vises på disse lokkemidlene.med tekster som «Fiks det», «Slik fikser du det», «Rette opp nå» eller «Løs problemet», som gir inntrykk av at brukeren bruker en rask løsning, når de i virkeligheten kopierer og starter et skript som laster ned skadelig programvare.

Slik fungerer et ClickFix-angrep trinn for trinn

Selv om det finnes mange variasjoner, følger nesten alle ClickFix-angrep en felles sekvens. som kombinerer kompromitterte nettsteder, ondsinnede JavaScript-skript og brukerens "tvungne" inngripen for å kjøre koden.

Det første trinnet er vanligvis å besøke et legitimt nettsted som har blitt kompromittert eller en direkte skadelig side., som offeret når fra en lenke i en phishing-e-post, manipulerte søkemotorresultater (ondsinnet SEO), ondsinnede annonser eller til og med fra en TikTok- eller YouTube-video med angivelige triks for å aktivere betalt programvare.

Den siden viser en falsk advarsel eller bekreftelse som simulerer et teknisk problem.: feil ved lasting av et dokument, feil med nettleseroppdatering, problemer med mikrofon eller kamera i Google Meet/Zoom, eller en angivelig anti-bot-sjekk som Cloudflare eller reCAPTCHA som hindrer deg i å fortsette med mindre noe er «fikset».

Så snart brukeren trykker på den «riktige» knappen eller krysser av i boksen «Jeg er et menneske»Et JavaScript-skript injiserer automatisk en ondsinnet kommando i utklippstavlen, vanligvis en obfuskert PowerShell- eller MSHTA-kommando som deretter laster ned en annen skadelig programvare fra en ekstern server.

Nettstedet viser en detaljert veiledning for offeret om hvordan man utfører kommandoen., for eksempel:

• Klikk på «Fiks det»-knappen for å «kopiere løsningskoden»..
• Trykk på Win+R-tastene for å åpne Kjør-vinduet på Windows.
• Trykk Ctrl+V for å lime inn det som er på utklippstavlen (den ondsinnede kommandoen).
• Trykk Enter for å «fikse problemet» eller fortsett med bekreftelsen.

I mer avanserte varianter gjøres trikset med Win+X eller med nettleserkonsollenBrukeren blir bedt om å åpne en PowerShell-terminal med administratorrettigheter fra hurtigmenyen (Win+X) eller bruke nettleserkonsollen (F12 eller Ctrl+Shift+I) og lime inn en blokk med JavaScript-kode eller en "verifiserings"-funksjon der.

Etter at kommandoen er utført, utvikler resten av infeksjonen seg i bakgrunnen.Skriptet laster ned andre deler fra kommando- og kontrollservere (C2), dekomprimerer filer, kjører ondsinnede DLL-er ved sidelasting og ender opp med å installere infostealere eller RAT-er i minnet eller på disken.

Hvorfor ClickFix er så vanskelig å oppdage

En av de store fordelene med ClickFix for angripere er at det omgår mange tradisjonelle sikkerhetsbarrierer.fordi infeksjonskjeden ser ut til å starte fra brukeren selv og ikke fra en nedlastet fil eller en klassisk utnyttelse.

Det er ikke nødvendigvis et mistenkelig vedlegg eller en kjørbar fil lastet ned direkte fra nettleseren.Dette betyr at mange e-postfiltre, nedlastingsblokkere og URL-omdømmekontroller ikke ser noe åpenlyst skadelig i den første fasen.

Kommandoen utføres fra et "pålitelig skall" i systemet, for eksempel PowerShell, cmd.exe eller nettleserkonsollen.Dette gir skadelig programvare inntrykk av legitim aktivitet og kompliserer arbeidet til signaturbaserte antivirusprogrammer og noen sikkerhetsløsninger som ikke er særlig gode på atferdsanalyse.

Sikkerhetsprodukter oppdager vanligvis trusselen etter at nyttelasten allerede er utført. eller forsøker å integrere i beskyttede prosesser, endre kritiske filer som hosts-filen, etablere persistens eller kommunisere med en C2-server; det vil si i en etterutnyttelsesfase.

Innen den tid kan angriperen ha fått betydelig tilgang til systemet.: heve privilegier, stjele påloggingsinformasjon, bevege seg sidelengs gjennom bedriftsnettverket, eller til og med forsøke å deaktivere antivirus og andre forsvarslag.

Hvor ClickFix sees i praksis: vanlige kanaler og lokkemidler

Undersøkelser fra diverse sikkerhetslaboratorier har vist at ClickFix brukes i et stort utvalg av kampanjer., rettet mot både hjemmebrukere og bedrifter i kritiske sektorer.

Angripere er ofte avhengige av disse kanalene for å distribuere ClickFix-lokkemidler:

• Legitime nettsteder kompromittert, der de injiserer JavaScript-rammeverk som ClearFake for å vise falske oppdaterings- eller verifiseringsvarsler.
• Ondsinnet reklame (malvertising)spesielt bannere og sponsede annonser som omdirigerer til falske programvarenedlastinger eller sider for nettleservalidering.
• Opplæringsprogrammer og videoer på YouTube eller TikTok, med påståtte triks for å aktivere programvare eller låse opp premiumfunksjoner gratis.
• Falske tekniske støttefora og nettsteder som etterligner hjelpeportaler, hvor det «anbefales» å kjøre kommandoer for å fikse systemfeil.

I Latin-Amerika er det allerede dokumentert tilfeller der offisielle nettsteder og universitetsnettsteder har blitt kompromittert.For eksempel nettsiden til School of Industrial Engineering ved Det katolske universitetet i Chile eller nettsiden til Politiets boligfond i Peru, som endte opp med å vise ClickFix-flyter til sine besøkende.

Amerikanske sikkerhetsbyråer har advart om kampanjer som retter seg mot brukere som søker etter spill, PDF-lesere, Web3-nettlesere eller meldingsapper.Alt dette gjøres ved å utnytte hverdagssøk for å omdirigere til sider som implementerer ClickFix.

Det er også observert kampanjer som er avhengige av antatte Google Meet-, Zoom-, DocuSign-, Okta-, Facebook- eller Cloudflare-sider., der en nettleserfeil eller CAPTCHA-verifisering vises, noe som tvinger brukeren til å følge sekvensen for kopiering og utføring av kommandoer.

Vanligste skadelige programvare distribuert med ClickFix

ClickFix er sjelden den eneste delen av angrepetDet er vanligvis rett og slett den første vektoren som tillater utplassering av en flertrinns infeksjonskjede med et bredt utvalg av skadelig programvare.

Blant de mest fremtredende familiene som er observert i nyere kampanjer er:

• Infotyvere som Vidar, Lumma, Stealc, Danabot, Atomic Stealer eller Odyssey Stealer, som spesialiserer seg på å stjele nettleserlegitimasjon, informasjonskapsler, autofylldata, kryptovaluta-lommebøker, VPN- og FTP-legitimasjon, osv.
• RAT-er (trojanere for fjerntilgang) som NetSupport RAT eller ARECHCLIENT2 (SectopRAT)som lar angripere kontrollere systemet, utføre kommandoer, eksfiltrere informasjon og starte påfølgende faser, inkludert ransomware.
• Avanserte lastere som GHOSTPULSE, Latrodectus eller ClearFakesom fungerer som lim, laster ned, dekrypterer og laster inn de følgende brikkene i minnet, ofte med svært forseggjorte lag med tilsløring og kryptering.
• Verktøy for å stjele økonomisk og bedriftsinformasjon, som henter ut data fra skjemaer, e-postklienter, meldinger og forretningsapplikasjoner.

I aktive kampanjer i løpet av 2024 og 2025 har man sett at ClickFix har matet komplekse kjeder.For eksempel laster en ClickFix-lokkedue som starter PowerShell ned en ZIP-fil som inneholder en legitim kjørbar fil (som Javas jp2launcher.exe) og en ondsinnet DLL, og ender opp med å kjøre NetSupport RAT på datamaskinen gjennom sidelasting.

Et annet vanlig tilfelle er bruken av MSHTA med obfuskerte URL-er til domener som iploggerco., som etterligner legitime IP-forkortings- eller registreringstjenester; derfra lastes et Base64-kodet PowerShell-skript ned som ender opp med å frigjøre Lumma Stealer-stagers eller lignende.

Ekte casestudier og fremhevede kampanjer med ClickFix

Rapporter fra flere hendelsesresponsteam og sikkerhetslaboratorier har identifisert flere svært aktive kampanjer. som dreier seg om ClickFix som et inngangspunkt.

I næringslivet har det blitt observert en betydelig innvirkning i sektorer som avansert teknologi, finansielle tjenester, produksjon, detaljhandel og engroshandel, offentlig administrasjon, profesjonelle og juridiske tjenester, energi og forsyningsselskaper, blant mange andre.

I en kampanje i mai 2025 brukte angripere ClickFix til å distribuere NetSupport RAT gjennom falske sider som utga seg for å være DocuSign og Okta, og utnyttet infrastruktur tilknyttet ClearFake-rammeverket til å injisere JavaScript som manipulerte utklippstavlen.

I løpet av mars og april 2025 ble det dokumentert en økning i trafikken til domener kontrollert av Latrodectus-familien., som begynte å bruke ClickFix som en innledende tilgangsteknikk: en kompromittert portal omdirigerte til en falsk verifisering, offeret kjørte en PowerShell fra Win+R og denne lastet ned en MSI som fjernet den skadelige DLL-en libcef.dll.

Parallelt ble det oppdaget typosquatting-kampanjer knyttet til Lumma Stealer.I disse angrepene ble ofrene bedt om å kjøre MSHTA-kommandoer som pekte mot domener som etterlignet iplogger. Disse kommandoene lastet ned sterkt obfuskerte PowerShell-skript som endte opp med å dekomprimere pakker med kjørbare filer som PartyContinued.exe og CAB-innhold (Boat.pst) for å sette opp en AutoIt-skriptmotor som var ansvarlig for å lansere den endelige versjonen av Lumma.

Elastic Security Labs har også beskrevet kampanjer der ClickFix fungerer som den første kroken for GHOSTPULSE.som igjen laster en mellomliggende .NET-laster og til slutt injiserer ARECHCLIENT2 i minnet, og omgår mekanismer som AMSI gjennom hooking og avansert obfuskering.

På sluttbrukerområdet har flere leverandører vist forenklede eksempler på ClickFix-angrepet. der en «nettleseroppdateringsside» eller en falsk CAPTCHA i stillhet kopierer et skript til utklippstavlen og deretter tvinger brukeren til å lime det inn i PowerShell med administratorrettigheter, noe som gjør det enklere å koble til C2-infrastrukturen og laste ned systemmodifiserende kjørbare filer.

Et spesielt bekymringsfullt fenomen er ankomsten av ClickFix på TikTok.Videoer generert selv med AI promoterer «enkle metoder» for å aktivere gratis betalte versjoner av Office, Spotify Premium eller redigeringsprogrammer, men i virkeligheten leder de brukerne til å kopiere og lime inn ondsinnede kommandoer som installerer infostealere som Vidar eller Stealc.

Hvordan analytikere oppdager ClickFix-infeksjoner

Selv om det kan virke som svart magi for brukeren, etterlater ClickFix-infeksjoner et teknisk spor. som trusseljaktteam og EDR-er kan bruke til å oppdage hendelsen.

I Windows-miljøer er et av analysepunktene RunMRU-registernøkkelen., som lagrer de nylig utførte kommandoene fra Kjør-vinduet (Win+R):

HKEY_CURRENT_USER\Programvare\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analytikere gjennomgår disse oppføringene og ser etter mistenkelige mønstre.: obfuskerte kommandoer, bruk av PowerShell eller MSHTA med uvanlige URL-er, kall til ukjente domener eller referanser til administrative verktøy som den vanlige brukeren vanligvis ikke bruker.

Når angripere bruker Win+X-varianten (hurtigmeny) for å starte PowerShell eller ledetekstenLedetråden finnes i prosesstelemetri: prosessopprettelseshendelser (som ID 4688 i Windows-sikkerhetsloggen) der explorer.exe starter powershell.exe rett etter å ha trykket på Win+X.

Korrelasjonen med andre hendelser, for eksempel tilgang til mappen %LocalAppData%\Microsoft\Windows\WinX\ eller mistenkelige nettverkstilkoblinger etter den kjøringenDette bidrar til å skissere den typiske oppførselen til en ClickFix-infeksjon, spesielt hvis prosesser som certutil.exe, mshta.exe eller rundll32.exe dukker opp umiddelbart etterpå.

En annen deteksjonsvektor er misbruk av utklippstavlenAvanserte URL-filtrerings- og DNS-sikkerhetsløsninger kan identifisere JavaScript som prøver å injisere ondsinnede kommandoer i utklippstavlens buffer, noe som blokkerer siden før brukeren fullfører sekvensen.

Hva prøver angriperne å oppnå med ClickFix-teknikken?

Bak all denne sosiale manipulasjonen ligger et klart mål: å oppnå økonomiske fordeler fra stjålet informasjon., både fra individuelle brukere og organisasjoner.

Infotyveri som distribueres gjennom ClickFix er utformet for å samle inn legitimasjon, informasjonskapsler og sensitive data. lagret i nettlesere, e-postklienter, bedriftsapplikasjoner eller kryptovaluta-lommebøker, samt interne dokumenter og økonomiske data.

Med dette materialet kan ondsinnede aktører utføre flere kriminelle aktiviteter:

• Utpressingsselskapertruer med å lekke konfidensiell informasjon om organisasjonen eller dens kunder.
• Å begå direkte økonomisk svindel ved å utnytte kompromitterte bankkontoer, nettbaserte betalingssystemer eller kryptolommebøker.
• Utgi seg for å være selskapet eller dets ansatte å utføre svindel mot tredjeparter, slik som typisk administrerende direktør-svindel eller BEC-angrep.
• Salg av legitimasjons- og datapakker på det mørke nettet som andre kriminelle grupper vil bruke i fremtidige angrep.
• Å utføre industriell eller geopolitisk spionasje når målet er en spesifikk organisasjon eller en strategisk sektor.

I mange dokumenterte kampanjer har ClickFix bare vært det første skrittet mot større angrep.inkludert utplassering av løsepengevirus etter tyveri av legitimasjon, langvarig tilgang til bedriftsnettverk eller bruk av den kompromitterte infrastrukturen som et springbrett til andre mål.

Hvordan kan brukere og bedrifter beskytte seg mot ClickFix?

Å forsvare seg mot ClickFix kombinerer teknologi, beste praksis og mye bevissthet.fordi det svake leddet som denne teknikken utnytter nettopp er brukerens atferd.

På et individuelt nivå finnes det flere veldig enkle gyldne regler som reduserer risikoen for fall betraktelig:

• Lim aldri inn kode i en konsoll (PowerShell, cmd, terminal, nettleserkonsoll) bare fordi et nettsted ber deg om det.uansett hvor legitimt det kan virke.
• Vær forsiktig med Cloudflare-verifiseringer, CAPTCHA-er eller sider for «nettleseroppdatering» som ber om merkelige trinn. utover å klikke på en boks eller en knapp.
• Hold nettleseren, operativsystemet og applikasjonene dine alltid oppdaterteInstallere oppdateringer fra offisielle kilder og ikke fra tilfeldige bannere eller popup-vinduer.
• Aktiver tofaktorautentisering (2FA) på viktige kontoer, for å gjøre livet vanskeligere for angriperne selv om de klarer å stjele passordet.

I bedriftsmiljøet bør selskaper, i tillegg til disse anbefalingene, gå et skritt videre. og adressere ClickFix som en spesifikk trussel i sikkerhetsstrategien sin.

Noen viktige tiltak for organisasjoner er:

• Begrens bruken av kommandokjøringsverktøy (PowerShell, cmd, MSHTA) gjennom gruppepolicyer, programkontrolllister eller EDR-konfigurasjoner, slik at bare tekniske profiler bruker dem og alltid logger aktiviteten.
• Implementer moderne løsninger for beskyttelse mot skadelig programvare og EDR med atferdsbaserte deteksjonsfunksjoner, i stand til å identifisere mistenkelige utførelsesmønstre selv når brukeren griper inn.
• Overvåk nettverkstrafikk og utgående tilkoblinger til domener med dårlig omdømmespesielt mot URL-forkortingstjenester, nyregistrerte domener eller uvanlige toppnivådomener.
• Gjennomgå regelmessig artefakter som RunMRU, PowerShell-logger og sikkerhetshendelser for å oppdage indikatorer på misbruk av Win+R, Win+X eller administrative konsoller.

En grunnleggende søyle er kontinuerlig og realistisk opplæring av ansatteEt teoretisk kurs er ikke nok; det er nyttig å utføre kontrollerte sosialtekniske tester som simulerer ClickFix-lignende kampanjer, administrerende direktørsvindel, avansert phishing eller skadelig annonsering.

Disse simuleringene lar oss måle modenhetsnivået til arbeidsstyrken i forhold til disse teknikkene.Juster bevissthetsstrategien, identifiser områder med større risiko, og forsterk kulturen med å «stoppe og tenke» før man følger mistenkelige instruksjoner på et nettsted eller i en e-post.

Videre er det viktig at selskaper er forberedt på å reagere raskt på en hendelse.ha klare responsplaner, spesialiserte team eller leverandører, og veldefinerte inneslutnings- og utryddingsprosesser på plass når et mulig ClickFix-tilfelle eller annen kompromitteringsvektor oppdages.

Spredningen av ClickFix-teknikken gjør det klart at angripere har funnet en svært effektiv måte å gjøre brukeren til en uvitende medskyldig.Og de nøler ikke med å kombinere det med sofistikert skadelig programvare, dynamiske C2-infrastrukturer og massive kampanjer på sosiale nettverk eller søkemotorer. Å forstå hvordan det fungerer, gjenkjenne signalene og styrke både teknologien og opplæringen av brukerne utgjør i dag forskjellen mellom å oppleve et alvorlig brudd eller å avbryte angrepet i tide.