Kaj je napad ClickFix in kako podrobno deluje?

Informatec Digital » Viri » Kaj je napad ClickFix in kako podrobno deluje?

Napadi ClickFix so postali eden najbolj modnih trikov socialnega inženiringa. V svetu kibernetske kriminalitete: kampanje, ki se zdijo neškodljive, z lažnimi opozorili brskalnika ali varnostnimi preverjanji, a na koncu povzročijo, da uporabnik na svojem računalniku zažene zlonamerno kodo, skoraj ne da bi se tega zavedal.

ClickFix še zdaleč ni tehnična zanimivost, saj smo ga že videli v resničnih kampanjah v Latinski Ameriki, Evropi in drugih regijah., distribucijo kradljivcev informacij, trojanskih konjev za oddaljeni dostop (RAT) in kompleksnih nalagalnikov, kot sta GHOSTPULSE ali NetSupport RAT, ter celo izkoriščanje videoposnetkov na TikToku ali vadnic na YouTubu za doseganje tisočev žrtev.

Kaj točno je napad ClickFix?

ClickFix je relativno nova tehnika socialnega inženiringa (popularizirana od leta 2024) ki temelji na nečem zelo preprostem: prepričati uporabnika, da kopira in izvaja ukaze na svojem sistemu, da bi "odpravil" domnevno tehnično težavo ali opravil preverjanje.

Namesto neposrednega prenosa zlonamernega programa zlonamerno spletno mesto v odložišče vbrizga skript ali ukaz. (na primer PowerShell v sistemu Windows ali ukazi MSHTA) in nato žrtvi prikaže podrobna navodila, kako ga prilepiti in zagnati v konzoli, oknu Zaženi ali terminalu.

Ta taktika izkorišča tisto, kar mnogi raziskovalci imenujejo »utrujenost od preverjanja«Uporabniki so navajeni hitro klikati gumbe, kot so »Sem človek«, »Popravi« ali »Posodobi zdaj«, ne da bi preveč analizirali sporočilo, zaradi česar so zelo ranljivi, ko je zaslon videti kot preverjanje Cloudflare, Google CAPTCHA ali napaka Google Meet ali Zoom.

Ime ClickFix izvira prav iz gumbov, ki se običajno pojavljajo na teh vabah.z besedili, kot so »Popravi«, »Kako popraviti«, »Popravi zdaj« ali »Reši težavo«, ki dajejo vtis, da uporabnik uporablja hitro rešitev, medtem ko v resnici kopira in zažene skript, ki prenaša zlonamerno programsko opremo.

Kako deluje napad ClickFix korak za korakom

Čeprav obstaja veliko različic, skoraj vsi napadi ClickFix sledijo skupnemu zaporedju. ki združuje ogrožena spletna mesta, zlonamerne JavaScript skripte in "prisilno" posredovanje uporabnika za izvajanje kode.

Prvi korak je običajno obisk legitimnega spletnega mesta, ki je bilo ogroženo, ali neposredno zlonamerne strani., do katerega žrtev pride prek povezave v lažnem e-poštnem sporočilu, manipuliranih rezultatov iskalnikov (zlonamerni SEO), zlonamernih oglasov ali celo prek videoposnetka TikTok ali YouTube z domnevnimi triki za aktiviranje plačljive programske opreme.

Na tej strani se prikaže lažno opozorilo ali preverjanje, ki simulira tehnično težavo.: napaka pri nalaganju dokumenta, napaka pri posodabljanju brskalnika, težave z mikrofonom ali kamero v storitvi Google Meet/Zoom ali domnevno preverjanje pred roboti, kot je Cloudflare ali reCAPTCHA, ki vam preprečuje nadaljevanje, razen če je nekaj »popravljeno«.

Takoj ko uporabnik pritisne gumb »pravilno« ali označi polje »Sem človek«JavaScript skript samodejno vbrizga zlonamerni ukaz v odložišče, običajno zakrit ukaz PowerShell ali MSHTA, ki nato z oddaljenega strežnika prenese drug del zlonamerne programske opreme.

Spletna stran prikazuje podroben vodnik za žrtev, kako izvesti ta ukaz., na primer:

• Kliknite gumb »Popravi«, da »kopirate kodo rešitve«.
• Pritisnite Win + R, da odprete okno Zaženi v operacijskem sistemu Windows.
• Pritisnite Ctrl+V, da prilepite, kar je v odložišču (zlonamerni ukaz).
• Pritisnite Enter, da »odpravite težavo« ali nadaljujete s preverjanjem..

V naprednejših različicah se trik izvede z Win+X ali s konzolo brskalnikaUporabniku je naročeno, da odpre terminal PowerShell s skrbniškimi pravicami iz hitrega menija (Win+X) ali uporabi konzolo brskalnika (F12 ali Ctrl+Shift+I) in vanj prilepi blok kode JavaScript ali funkcijo »preverjanja«.

Po izvedbi ukaza se preostanek okužbe razvija v ozadju.Skripta prenese druge dele s strežnikov za upravljanje in nadzor (C2), razpakira datoteke, izvede zlonamerne DLL-je z nalaganjem s strani in na koncu namesti infostealers ali RAT-e v pomnilnik ali na disk.

Zakaj je ClickFix tako težko zaznati

Ena od velikih prednosti ClickFixa za napadalce je, da zaobide številne tradicionalne varnostne ovire.ker se zdi, da se veriga okužbe začne pri samem uporabniku in ne pri preneseni datoteki ali klasičnem izkoriščanju.

Ni nujno, da gre za sumljivo prilogo ali izvedljivo datoteko, preneseno neposredno iz brskalnika.To pomeni, da številni filtri e-pošte, blokatorji prenosov in preverjanja ugleda URL-jev v tej prvi fazi ne vidijo ničesar očitno zlonamernega.

Ukaz se izvede iz "zaupanja vredne lupine" sistema, kot je PowerShell, cmd.exe ali konzola brskalnika.Zaradi tega zlonamerna programska oprema deluje legitimno in otežuje delo protivirusnih programov, ki temeljijo na podpisih, in nekaterih varnostnih rešitev, ki niso zelo dobre pri vedenjski analizi.

Varnostni izdelki običajno zaznajo grožnjo šele po tem, ko je koristni tovor že izveden. ali poskuša integrirati v zaščitene procese, spremeniti kritične datoteke, kot je datoteka hosts, vzpostaviti vztrajnost ali komunicirati s strežnikom C2; torej v fazi po izkoriščanju.

Do takrat je napadalec morda že pridobil pomemben dostop do sistema.: stopnjevanje privilegijev, krajo poverilnic, lateralno premikanje po poslovnem omrežju ali celo poskus onemogočanja protivirusne zaščite in drugih plasti obrambe.

Kje se ClickFix uporablja v praksi: pogosti kanali in vabe

Preiskave različnih varnostnih laboratorijev so pokazale, da se ClickFix uporablja v številnih kampanjah., namenjen tako domačim uporabnikom kot podjetjem v kritičnih sektorjih.

Napadalci se pogosto zanašajo na te kanale za uporabo svojih vab ClickFix.:

• Ogrožena legitimna spletna mesta, v katere vbrizgajo ogrodja JavaScript, kot je ClearFake, za prikaz lažnih obvestil o posodobitvah ali preverjanju.
• Zlonamerno oglaševanje (malvertising)zlasti pasice in sponzorirani oglasi, ki preusmerjajo na strani za prenos lažne programske opreme ali preverjanje brskalnika.
• Vadnice in videoposnetki na YouTubu ali TikToku, z domnevnimi triki za brezplačno aktiviranje programske opreme ali odklepanje premium funkcij.
• Lažni forumi za tehnično podporo in spletna mesta, ki posnemajo portale za pomoč, kjer je "priporočeno" izvajanje ukazov za odpravljanje sistemskih napak.

V Latinski Ameriki so že dokumentirani primeri vdorov v uradne in univerzitetne spletne strani.Na primer spletna stran Fakultete za industrijsko inženirstvo na Katoliški univerzi v Čilu ali spletna stran Policijskega stanovanjskega sklada v Peruju, ki je svojim obiskovalcem prikazovala tokove ClickFix.

Ameriške varnostne agencije so opozorile na kampanje, usmerjene v uporabnike, ki iščejo igre, bralnike PDF-jev, brskalnike Web3 ali aplikacije za sporočanje.Vse to se naredi z izkoriščanjem vsakodnevnih iskanj za preusmeritev na strani, ki izvajajo ClickFix.

Opazili so tudi kampanje, ki se zanašajo na domnevne strani Google Meet, Zoom, DocuSign, Okta, Facebook ali Cloudflare., kjer se prikaže napaka brskalnika ali preverjanje CAPTCHA, zaradi česar mora uporabnik slediti zaporedju kopiranja in izvajanja ukazov.

Najpogostejša zlonamerna programska oprema, ki se distribuira s ClickFixom

ClickFix je redko edini del napadaObičajno je to zgolj začetni vektor, ki omogoča uvedbo večstopenjske verige okužb s široko paleto zlonamerne programske opreme.

Med najvidnejšimi družinami, ki so jih opazili v nedavnih kampanjah, so:

• Kradljivci informacij, kot so Vidar, Lumma, Stealc, Danabot, Atomic Stealer ali Odyssey Stealer, specializiran za krajo poverilnic brskalnika, piškotkov, podatkov za samodejno izpolnjevanje, denarnic s kriptovalutami, poverilnic za VPN in FTP itd.
• RAT-i (trojanski konji za oddaljeni dostop), kot sta NetSupport RAT ali ARECHCLIENT2 (SectopRAT)ki napadalcem omogočajo nadzor nad sistemom, izvajanje ukazov, izsiljevanje informacij in zagon nadaljnjih faz, vključno z izsiljevalsko programsko opremo.
• Napredni nalagalniki, kot so GHOSTPULSE, Latrodectus ali ClearFakeki delujejo kot lepilo, prenašajo, dešifrirajo in nalagajo naslednje dele v pomnilnik, pogosto z zelo dovršenimi plastmi zakrivanja in šifriranja.
• Orodja za krajo finančnih in poslovnih informacij, ki pridobivajo podatke iz obrazcev, e-poštnih odjemalcev, sporočilnih sistemov in poslovnih aplikacij.

V aktivnih kampanjah v letih 2024 in 2025 je bilo opaziti, da ClickFix hrani kompleksne verige.Na primer, vaba ClickFix, ki zažene PowerShell, prenese datoteko ZIP, ki vsebuje legitimno izvedljivo datoteko (kot je Java jp2launcher.exe) in zlonamerno DLL, in s stranskim nalaganjem na koncu zažene NetSupport RAT v računalniku.

Drug pogost primer je uporaba MSHTA z zakritimi URL-ji do domen, kot je iploggerco., ki posnemajo legitimne storitve krajšanja ali registracije IP-jev; od tam se prenese skript PowerShell, kodiran v Base64, ki na koncu sprosti usmerjevalnike Lumma Stealer ali podobne.

Študije primerov iz resničnega življenja in predstavljene kampanje s ClickFixom

Poročila več ekip za odzivanje na incidente in varnostnih laboratorijev so odkrila več zelo aktivnih kampanj ki se vrtijo okoli ClickFixa kot vstopne točke.

V poslovnem sektorju je bil opazen opazen vpliv v sektorjih, kot so napredna tehnologija, finančne storitve, proizvodnja, trgovina na drobno in veleprodaja, javna uprava, strokovne in pravne storitve, energetika in komunalne storitve, med mnogimi drugimi.

V kampanji maja 2025 so napadalci uporabili ClickFix za namestitev NetSupport RAT. prek lažnih strani, ki so se izdajale za DocuSign in Okta, pri čemer so izkoriščale infrastrukturo, povezano z ogrodjem ClearFake, za vbrizgavanje JavaScripta, ki je manipuliral z odložiščem.

Med marcem in aprilom 2025 je bilo dokumentirano povečanje prometa na domene, ki jih nadzoruje družina Latrodectus., ki je začel uporabljati ClickFix kot začetno tehniko dostopa: ogroženi portal je preusmeril na lažno preverjanje, žrtev je zagnala PowerShell iz Win+R in ta je prenesel MSI, ki je spustil zlonamerno DLL libcef.dll.

Vzporedno so bile odkrite kampanje tiposquattinga, povezane z Lumma Stealer.V teh napadih so žrtve prosili, naj izvedejo ukaze MSHTA, ki so kazali na domene, ki posnemajo iplogger; ti ukazi so prenesli močno zakrite skripte PowerShell, ki so na koncu razpakirali pakete z izvedljivimi datotekami, kot sta PartyContinued.exe in vsebina CAB (Boat.pst), da bi nastavili skriptni mehanizem AutoIt, odgovoren za zagon končne različice Lumme.

Elastic Security Labs je opisal tudi kampanje, kjer ClickFix služi kot začetni kavelj za GHOSTPULSE.ki nato naloži vmesni nalagalnik .NET in na koncu v pomnilnik vbrizga ARECHCLIENT2, s čimer zaobide mehanizme, kot je AMSI, s pomočjo zapenjanja in naprednega zakrivanja.

Na področju končnih uporabnikov je več prodajalcev prikazalo poenostavljene primere napada ClickFix. pri katerem stran za »posodobitev brskalnika« ali ponarejena CAPTCHA tiho kopira skript v odložišče in nato uporabnika prisili, da ga prilepi v PowerShell s skrbniškimi pravicami, kar olajša povezavo z infrastrukturo C2 in prenos izvedljivih datotek, ki spreminjajo sistem.

Posebej zaskrbljujoč pojav je prihod ClickFixa na TikTok.Videoposnetki, ustvarjeni celo z umetno inteligenco, promovirajo "enostavne metode" za aktiviranje brezplačnih plačljivih različic sistema Office, Spotify Premium ali programov za urejanje, v resnici pa uporabnike vodijo h kopiranju in lepljenju zlonamernih ukazov, ki nameščajo programe za krajo informacij, kot sta Vidar ali Stealc.

Kako analitiki odkrivajo okužbe s ClickFixom

Čeprav se uporabniku morda zdi kot črna magija, okužbe s ClickFixom puščajo tehnično sled. ki jih lahko ekipe za iskanje groženj in EDR uporabijo za odkrivanje incidenta.

V okoljih Windows je ena od točk analize registrski ključ RunMRU., ki shranjuje nedavno izvedene ukaze iz okna Zaženi (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analitiki pregledujejo te vnose in iščejo sumljive vzorce.: zakriti ukazi, uporaba PowerShella ali MSHTA z nenavadnimi URL-ji, klici neznanih domen ali sklicevanja na skrbniška orodja, ki jih običajni uporabnik običajno ne uporablja.

Ko napadalci uporabijo različico Win+X (meni za hitri dostop) za zagon PowerShella ali ukaznega pozivaNamig najdemo v telemetriji procesov: dogodki ustvarjanja procesov (kot je ID 4688 v varnostnem dnevniku sistema Windows), kjer explorer.exe takoj po pritisku tipk Win+X zažene powershell.exe.

Korelacija z drugimi dogodki, kot je dostop do mape %LocalAppData%\Microsoft\Windows\WinX\ ali sumljive omrežne povezave po tej izvedbiTo pomaga orisati tipično vedenje okužbe s ClickFixom, zlasti če se takoj zatem pojavijo procesi, kot so certutil.exe, mshta.exe ali rundll32.exe.

Drug vektor zaznavanja je zloraba odložiščaNapredne rešitve za filtriranje URL-jev in varnost DNS lahko prepoznajo JavaScript, ki poskuša vstaviti zlonamerne ukaze v medpomnilnik odložišča, kar blokira stran, preden uporabnik zaključi zaporedje.

Kaj poskušajo napadalci doseči s tehniko ClickFix?

Za vsem tem socialnim inženiringom se skriva jasen cilj: pridobiti ekonomske koristi iz ukradenih informacij., tako od posameznih uporabnikov kot organizacij.

Kradljivci informacij, nameščeni prek ClickFixa, so zasnovani za zbiranje poverilnic, piškotkov in občutljivih podatkov. shranjeni v brskalnikih, e-poštnih odjemalcih, poslovnih aplikacijah ali denarnicah s kriptovalutami, pa tudi v internih dokumentih in finančnih podatkih.

S tem gradivom lahko zlonamerni akterji izvajajo številne kriminalne dejavnosti:

• Izsiljevalska podjetjagrožnje z razkritjem zaupnih informacij o organizaciji ali njenih strankah.
• Storiti neposredno finančno goljufijo z izkoriščanjem ogroženih bančnih računov, spletnih plačilnih sistemov ali kripto denarnic.
• Predstavljanje podjetja ali njegovih zaposlenih izvajati goljufije proti tretjim osebam, kot so tipične goljufije zoper generalnega direktorja ali napadi BEC.
• Prodaja poverilnic in podatkovnih paketov na temnem spletu ki jih bodo druge kriminalne združbe uporabile v prihodnjih napadih.
• Izvajanje industrijskega ali geopolitičnega vohunjenja kadar je cilj določena organizacija ali strateški sektor.

V mnogih dokumentiranih kampanjah je bil ClickFix le prvi korak k večjim napadom.tudi namestitev izsiljevalske programske opreme po kraji poverilnic, podaljšanem dostopu do poslovnih omrežij ali uporabi ogrožene infrastrukture kot odskočne deske za druge cilje.

Kako se lahko uporabniki in podjetja zaščitijo pred ClickFixom?

Obramba pred ClickFixom združuje tehnologijo, najboljše prakse in veliko ozaveščenosti.ker je šibka povezava, ki jo ta tehnika izkorišča, prav uporabnikovo vedenje.

Na individualni ravni obstaja več zelo preprostih zlatih pravil ki močno zmanjšajo tveganje padca:

• Nikoli ne prilepite kode v konzolo (PowerShell, cmd, terminal, konzolo brskalnika) samo zato, ker vas k temu prosi spletno mesto.pa naj se zdi še tako legitimno.
• Bodite previdni pri preverjanjih Cloudflare, CAPTCHA ali straneh za »posodobitev brskalnika«, ki zahtevajo nenavadne korake. več kot le klik na polje ali gumb.
• Poskrbite, da bo vaš brskalnik, operacijski sistem in aplikacije vedno posodobljenNamestitev popravkov iz uradnih virov in ne iz naključnih pasic ali pojavnih oken.
• Aktivirajte dvofaktorsko preverjanje pristnosti (2FA) na pomembnih računih, da bi napadalcem otežili življenje, tudi če jim uspe ukrasti geslo.

V korporativnem okolju bi morala podjetja poleg teh priporočil iti še korak dlje in ClickFix obravnavajo kot specifično grožnjo znotraj svoje varnostne strategije.

Nekateri ključni ukrepi za organizacije so:

• Omejite uporabo orodij za izvajanje ukazov (PowerShell, cmd, MSHTA) prek skupinskih pravilnikov, seznamov za nadzor aplikacij ali konfiguracij EDR, tako da jih uporabljajo samo tehnični profili in vedno beležijo dejavnost.
• Implementirajte sodobne rešitve proti zlonamerni programski opremi in EDR z zmožnostmi zaznavanja na podlagi vedenja, ki lahko prepoznajo sumljive vzorce izvajanja, tudi ko uporabnik posreduje.
• Spremljajte omrežni promet in odhodne povezave do domen s slabim ugledomzlasti do storitev krajšanja URL-jev, na novo registriranih domen ali nenavadnih domen najvišje ravni.
• Občasno pregledujte artefakte, kot so RunMRU, dnevniki PowerShell in varnostni dogodki za odkrivanje znakov zlorabe tipk Win+R, Win+X ali skrbniških konzol.

Temeljni steber je nenehno in realistično usposabljanje osebjaTeoretični tečaj ni dovolj; koristno je izvesti nadzorovane teste socialnega inženiringa, ki simulirajo kampanje tipa ClickFix, goljufije direktorjev, napredno lažno predstavljanje ali zlonamerno oglaševanje.

Te simulacije nam omogočajo merjenje stopnje zrelosti delovne sile v povezavi s temi tehnikami.Prilagodite strategijo ozaveščanja, prepoznajte področja z večjim tveganjem in okrepite kulturo »ustavite se in premislite«, preden sledite sumljivim navodilom na spletni strani ali v e-pošti.

Poleg tega je ključnega pomena, da so podjetja pripravljena hitro odzvati se na incidentImeti jasne načrte odzivanja, specializirane ekipe ali ponudnike ter dobro opredeljene postopke zadrževanja in izkoreninjenja za primer, ko se zazna morebiten primer ClickFix ali kateri koli drug vektor ogrožanja.

Širjenje tehnike ClickFix jasno kaže, da so napadalci našli zelo učinkovit način, kako uporabnika spremeniti v nevedega sostorilca.In brez oklevanja ga kombinirajo s sofisticirano zlonamerno programsko opremo, dinamičnimi infrastrukturami C2 in obsežnimi kampanjami na družbenih omrežjih ali iskalnikih; razumevanje delovanja, prepoznavanje signalov in krepitev tako tehnologije kot izobrazbe uporabnikov danes pomenijo razliko med resno kršitvijo in pravočasno zaustavitvijo napada.

Povezani članek:

Kako se zaščititi pred izsiljevalsko programsko opremo Interlock in Warlock: taktični in praktični vodnik