Vad är en ClickFix-attack och hur fungerar den i detalj?

Informatec Digital » Resurser » Vad är en ClickFix-attack och hur fungerar den i detalj?

ClickFix-attacker har blivit ett av de mest populära social engineering-knepen I cyberbrottslighetens värld: kampanjer som verkar ofarliga, med falska webbläsarvarningar eller säkerhetskontroller, men som i slutändan får användaren att köra skadlig kod på sin dator, nästan utan att inse det.

ClickFix är långt ifrån en teknisk kuriositet, utan har redan setts i verkliga kampanjer i Latinamerika, Europa och andra regioner., distribuera infostjälare, fjärråtkomsttrojaner (RAT) och komplexa laddare som GHOSTPULSE eller NetSupport RAT, och till och med utnyttja TikTok-videor eller YouTube-handledningar för att nå tusentals offer.

Vad exakt är en ClickFix-attack?

ClickFix är en relativt ny social engineering-teknik (populär sedan 2024) vilket bygger på något väldigt enkelt: att övertyga användaren att kopiera och köra kommandon på sitt eget system för att "fixa" ett förmodat tekniskt problem eller slutföra en verifiering.

Istället för att ladda ner ett skadligt program direkt, injicerar den skadliga webbplatsen ett skript eller kommando i urklipp. (till exempel PowerShell i Windows eller MSHTA-kommandon) och visar sedan steg-för-steg-instruktioner för offret att klistra in och köra det i en konsol, Kör-ruta eller terminal.

Denna taktik utnyttjar vad många forskare kallar "verifieringströtthet"Användare är vana vid att snabbt klicka på knappar som "Jag är människa", "Åtgärda det" eller "Uppdatera nu" utan att analysera meddelandet för mycket, vilket gör dem mycket sårbara när skärmen ser ut som en Cloudflare-verifiering, en Google CAPTCHA eller ett Google Meet- eller Zoom-fel.

Namnet ClickFix kommer just från knapparna som vanligtvis finns på dessa beten.med texter som ”Åtgärda det”, ”Hur man åtgärdar det”, ”Rätta till det nu” eller ”Lös problemet”, vilket ger intrycket av att användaren tillämpar en snabb lösning, när de i själva verket kopierar och startar ett skript som laddar ner skadlig kod.

Så här fungerar en ClickFix-attack steg för steg

Även om det finns många variationer följer nästan alla ClickFix-attacker en gemensam sekvens. som kombinerar komprometterade webbplatser, skadliga JavaScript-skript och användarens "tvingade" ingripande för att exekvera koden.

Det första steget är vanligtvis att besöka en legitim webbplats som har blivit komprometterad eller en direkt skadlig sida., som offret når från en länk i ett nätfiskemejl, manipulerade sökmotorresultat (skadlig SEO), skadliga annonser eller till och med från en TikTok- eller YouTube-video med förmodade knep för att aktivera betald programvara.

Den sidan visar en falsk varning eller verifiering som simulerar ett tekniskt problem.: fel vid laddning av ett dokument, fel vid webbläsaruppdatering, problem med mikrofon eller kamera i Google Meet/Zoom, eller en förmodad anti-bot-kontroll som Cloudflare eller reCAPTCHA som hindrar dig från att fortsätta om inte något är "åtgärdat".

Så snart användaren trycker på "rätt" knapp eller markerar rutan "Jag är människa"Ett JavaScript-skript injicerar automatiskt ett skadligt kommando i urklippet, vanligtvis ett obfuskerat PowerShell- eller MSHTA-kommando som sedan laddar ner ytterligare en skadlig kod från en fjärrserver.

Webbplatsen visar en detaljerad guide för offret att utföra kommandot., till exempel:

• Klicka på knappen ”Åtgärda det” för att ”kopiera lösningskoden”.
• Tryck på Win+R-tangenterna för att öppna Kör-fönstret på Windows.
• Tryck Ctrl+V för att klistra in det som finns på urklipp (det skadliga kommandot).
• Tryck på Enter för att "åtgärda problemet" eller fortsätt med verifieringen.

I mer avancerade varianter görs tricket med Win+X eller med webbläsarkonsolenAnvändaren instrueras att öppna en PowerShell-terminal med administratörsbehörighet från snabbmenyn (Win+X) eller att använda webbläsarkonsolen (F12 eller Ctrl+Shift+I) och klistra in ett block med JavaScript-kod eller en "verifieringsfunktion" där.

Efter att kommandot har körts utvecklas resten av infektionen i bakgrunden.Skriptet laddar ner andra delar från kommando- och kontrollservrar (C2), dekomprimerar filer, kör skadliga DLL-filer genom sidladdning och installerar slutligen infostealers eller RAT:er i minnet eller på disken.

Varför ClickFix är så svårt att upptäcka

En av de stora fördelarna med ClickFix för angripare är att det kringgår många traditionella säkerhetsbarriärer.eftersom infektionskedjan verkar starta från användaren själv och inte från en nedladdad fil eller ett klassiskt exploit.

Det finns inte nödvändigtvis en misstänkt bilaga eller en körbar fil som laddats ner direkt från webbläsaren.Det här innebär att många e-postfilter, nedladdningsblockerare och URL-rykteskontroller inte ser något öppet skadligt i den första fasen.

Kommandot körs från ett "betrott skal" i systemet, till exempel PowerShell, cmd.exe eller webbläsarkonsolen.Detta ger skadlig kod ett sken av legitim aktivitet och komplicerar arbetet för signaturbaserade antivirusprogram och vissa säkerhetslösningar som inte är särskilt bra på beteendeanalys.

Säkerhetsprodukter upptäcker vanligtvis hotet efter att nyttolasten redan har exekverats. eller försöker integrera i skyddade processer, modifiera kritiska filer som hosts-filen, etablera persistens eller kommunicera med en C2-server; det vill säga i en fas efter utnyttjande.

Vid det laget kan angriparen ha fått betydande åtkomst till systemet.: utöka privilegier, stjäla inloggningsuppgifter, förflytta sig i sidled genom företagsnätverket eller till och med försöka inaktivera antivirusprogram och andra försvarslager.

Var ClickFix ses i praktiken: vanliga kanaler och lockbete

Undersökningar av olika säkerhetslaboratorier har visat att ClickFix används i en mängd olika kampanjer., riktad till både hemanvändare och företag inom kritiska sektorer.

Angripare förlitar sig ofta på dessa kanaler för att distribuera sina ClickFix-lockbeten.:

• Legitima webbplatser komprometterade, där de injicerar JavaScript-ramverk som ClearFake för att visa falska uppdaterings- eller verifieringsmeddelanden.
• Skadlig reklam (malvertising)särskilt banners och sponsrade annonser som omdirigerar till falska programvarunedladdningar eller webbläsarvalideringssidor.
• Handledningar och videor på YouTube eller TikTok, med påstådda knep för att aktivera programvara eller låsa upp premiumfunktioner gratis.
• Falska tekniska supportforum och webbplatser som imiterar hjälpportaler, där det "rekommenderas" att köra kommandon för att åtgärda systemfel.

I Latinamerika har fall redan dokumenterats där officiella webbplatser och universitetswebbplatser har komprometterats.Till exempel webbplatsen för Industriteknikskolan vid Chiles katolska universitet eller webbplatsen för Perus polisbostadsfond, som visade ClickFix-flöden för sina besökare.

Amerikanska säkerhetsmyndigheter har varnat för kampanjer som riktar sig mot användare som söker efter spel, PDF-läsare, Web3-webbläsare eller meddelandeappar.Allt detta görs genom att utnyttja dagliga sökningar för att omdirigera till sidor som implementerar ClickFix.

Kampanjer har också observerats som förlitar sig på förmodade Google Meet-, Zoom-, DocuSign-, Okta-, Facebook- eller Cloudflare-sidor., där ett webbläsarfel eller en CAPTCHA-verifiering visas, vilket tvingar användaren att följa sekvensen för att kopiera och köra kommandon.

Vanligaste skadliga programvaran som distribueras med ClickFix

ClickFix är sällan den enda delen av attackenDet är vanligtvis helt enkelt den initiala vektorn som möjliggör distribution av en flerstegsinfektionskedja med en mängd olika skadliga program.

Bland de mest framstående familjerna som observerats i de senaste kampanjerna är:

• Infostjälare som Vidar, Lumma, Stealc, Danabot, Atomic Stealer eller Odyssey Stealer, specialiserat på att stjäla webbläsaruppgifter, cookies, autofylld data, kryptovalutaplånböcker, VPN- och FTP-uppgifter, etc.
• RAT:er (fjärråtkomsttrojaner) som NetSupport RAT eller ARECHCLIENT2 (SectopRAT)vilket gör det möjligt för angripare att kontrollera systemet, utföra kommandon, stjäla information och starta efterföljande faser, inklusive ransomware.
• Avancerade laddare som GHOSTPULSE, Latrodectus eller ClearFakesom fungerar som lim, laddar ner, dekrypterar och laddar följande bitar i minnet, ofta med mycket komplicerade lager av förvirring och kryptering.
• Verktyg för att stjäla finansiell och företagsinformation, som extraherar data från formulär, e-postklienter, meddelanden och affärsapplikationer.

I aktiva kampanjer under 2024 och 2025 har ClickFix setts mata komplexa kedjor.Till exempel laddar en ClickFix-lockbete som startar PowerShell ner en ZIP-fil som innehåller en legitim körbar fil (som Javas jp2launcher.exe) och en skadlig DLL, och genom sidladdning körs NetSupport RAT på datorn.

Ett annat vanligt fall är användningen av MSHTA med obfuskerade URL:er till domäner som iploggerco., som imiterar legitima IP-förkortnings- eller registreringstjänster; därifrån laddas ner ett Base64-kodat PowerShell-skript som i slutändan släpper Lumma Stealer-stagers eller liknande.

Fallstudier från verkligheten och utvalda kampanjer med ClickFix

Rapporter från flera incidenthanteringsteam och säkerhetslaboratorier har identifierat flera mycket aktiva kampanjer. som kretsar kring ClickFix som en ingångspunkt.

Inom näringslivet har en märkbar effekt observerats i sektorer som avancerad teknologi, finansiella tjänster, tillverkning, detaljhandel och grossisthandel, offentlig förvaltning, professionella och juridiska tjänster, energi och allmännyttiga tjänster, bland många andra.

I en kampanj i maj 2025 använde angripare ClickFix för att driftsätta NetSupport RAT genom falska sidor som imiterade DocuSign och Okta, och utnyttjade infrastruktur kopplad till ClearFake-ramverket för att injicera JavaScript som manipulerade urklippet.

Under mars och april 2025 dokumenterades en ökning av trafiken till domäner kontrollerade av Latrodectus-familjen., som började använda ClickFix som en initial åtkomstteknik: en komprometterad portal omdirigerades till en falsk verifiering, offret körde en PowerShell från Win+R och denna laddade ner en MSI som släppte den skadliga DLL:n libcef.dll.

Parallellt upptäcktes typosquatting-kampanjer kopplade till Lumma Stealer.I dessa attacker ombads offren att köra MSHTA-kommandon som pekade mot domäner som imiterade iplogger; dessa kommandon laddade ner kraftigt förvrängda PowerShell-skript som i slutändan dekomprimerade paket med körbara filer som PartyContinued.exe och CAB-innehåll (Boat.pst) för att ställa in en AutoIt-skriptmotor som ansvarar för att starta den slutliga versionen av Lumma.

Elastic Security Labs har också beskrivit kampanjer där ClickFix fungerar som den initiala kroken för GHOSTPULSE.vilket i sin tur laddar en mellanliggande .NET-laddare och slutligen injicerar ARECHCLIENT2 i minnet, och kringgår mekanismer som AMSI genom hooking och avancerad obfuskation.

På slutanvändarområdet har flera leverantörer visat förenklade exempel på ClickFix-attacken. där en sida för "webbläsaruppdatering" eller en falsk CAPTCHA i tysthet kopierar ett skript till urklipp och sedan tvingar användaren att klistra in det i PowerShell med administratörsbehörighet, vilket gör det enklare att ansluta till C2-infrastrukturen och ladda ner systemmodifierande körbara filer.

Ett särskilt oroande fenomen är ClickFix ankomst på TikTok.Videor som genereras även med AI marknadsför "enkla metoder" för att aktivera gratis betalversioner av Office, Spotify Premium eller redigeringsprogram, men i verkligheten leder de användare att kopiera och klistra in skadliga kommandon som installerar informationsstjälare som Vidar eller Stealc.

Hur analytiker upptäcker ClickFix-infektioner

Även om det kan verka som svart magi för användaren, lämnar ClickFix-infektioner ett tekniskt spår. som hotjaktteam och EDR kan använda för att upptäcka incidenten.

I Windows-miljöer är en av analyspunkterna registernyckeln RunMRU., som lagrar de senaste kommandona som körts från Kör-fönstret (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Analytiker granskar dessa poster och letar efter misstänkta mönster.: obfuskerade kommandon, användning av PowerShell eller MSHTA med ovanliga URL:er, anrop till okända domäner eller referenser till administrativa verktyg som den vanliga användaren vanligtvis inte använder.

När angripare använder Win+X-varianten (snabbmeny) för att starta PowerShell eller kommandotolkenLedtråden finns i processtelemetri: processskapandehändelser (som ID 4688 i Windows säkerhetslogg) där explorer.exe skapar powershell.exe direkt efter att man tryckt på Win+X.

Korrelationen med andra händelser, såsom åtkomst till mappen %LocalAppData%\Microsoft\Windows\WinX\ eller misstänkta nätverksanslutningar efter den körningen.Detta hjälper till att beskriva det typiska beteendet hos en ClickFix-infektion, särskilt om processer som certutil.exe, mshta.exe eller rundll32.exe dyker upp omedelbart efteråt.

En annan detekteringsvektor är missbruk av urklippAvancerade URL-filtrerings- och DNS-säkerhetslösningar kan identifiera JavaScript som försöker injicera skadliga kommandon i urklippsbufferten, vilket blockerar sidan innan användaren slutför sekvensen.

Vad försöker angriparna uppnå med ClickFix-tekniken?

Bakom all denna sociala ingenjörskonst ligger ett tydligt mål: att uppnå ekonomiska fördelar från stulen information., både från enskilda användare och organisationer.

Infostealers som distribueras via ClickFix är utformade för att samla in inloggningsuppgifter, cookies och känslig information. lagras i webbläsare, e-postklienter, företagsapplikationer eller kryptovalutaplånböcker, samt interna dokument och finansiella data.

Med det materialet kan illvilliga aktörer utföra flera kriminella aktiviteter:

• Utpressningsföretaghotar att läcka konfidentiell information om organisationen eller dess kunder.
• Att begå direkt ekonomiskt bedrägeri genom att utnyttja komprometterade bankkonton, onlinebetalningssystem eller kryptoplånböcker.
• Att utge sig för att vara företaget eller dess anställda att utföra bedrägerier mot tredje part, såsom typiska VD-bedrägerier eller BEC-attacker.
• Sälja referens- och datapaket på den mörka webben som andra kriminella grupper kommer att använda i framtida attacker.
• Att utföra industriell eller geopolitisk spionage när målet är en specifik organisation eller en strategisk sektor.

I många dokumenterade kampanjer har ClickFix bara varit det första steget mot större attacker.inklusive utplacering av ransomware efter stöld av inloggningsuppgifter, långvarig åtkomst till företagsnätverk eller användning av den komprometterade infrastrukturen som en språngbräda till andra mål.

Hur kan användare och företag skydda sig mot ClickFix?

Att försvara sig mot ClickFix kombinerar teknik, bästa praxis och stor medvetenhet.eftersom den svaga länken som denna teknik utnyttjar är just användarens beteende.

På individuell nivå finns det flera mycket enkla gyllene regler vilket kraftigt minskar risken för fall:

• Klistra aldrig in kod i en konsol (PowerShell, cmd, terminal, webbläsarkonsol) bara för att en webbplats ber dig om det.hur legitimt det än må verka.
• Var försiktig med Cloudflare-verifieringar, CAPTCHA:er eller sidor för "webbläsaruppdateringar" som ber om konstiga steg. utöver att klicka på en ruta eller en knapp.
• Håll din webbläsare, ditt operativsystem och dina applikationer alltid uppdateradeInstallera patchar från officiella källor och inte från slumpmässiga banners eller popup-fönster.
• Aktivera tvåfaktorsautentisering (2FA) på viktiga konton, för att göra livet svårare för angriparna även om de lyckas stjäla lösenordet.

I företagsmiljön bör företag, utöver dessa rekommendationer, gå ett steg längre och adressera ClickFix som ett specifikt hot inom sin säkerhetsstrategi.

Några viktiga åtgärder för organisationer är:

• Begränsa användningen av kommandokörningsverktyg (PowerShell, cmd, MSHTA) genom grupprinciper, programkontrolllistor eller EDR-konfigurationer, så att endast tekniska profiler använder dem och alltid loggar aktiviteten.
• Implementera moderna lösningar för antimalware och EDR med beteendebaserade detekteringsfunktioner, som kan identifiera misstänkta exekveringsmönster även när användaren ingriper.
• Övervaka nätverkstrafik och utgående anslutningar till domäner med dåligt ryktesärskilt mot URL-förkortningstjänster, nyregistrerade domäner eller ovanliga toppdomäner.
• Granska regelbundet artefakter som RunMRU, PowerShell-loggar och säkerhetshändelser för att upptäcka tecken på missbruk av Win+R, Win+X eller administrativa konsoler.

En grundläggande pelare är kontinuerlig och realistisk utbildning av personalenEn teoretisk kurs räcker inte; det är användbart att genomföra kontrollerade social engineering-tester som simulerar ClickFix-liknande kampanjer, VD-bedrägerier, avancerad phishing eller skadlig annonsering.

Dessa simuleringar låter oss mäta arbetskraftens mognadsnivå i förhållande till dessa tekniker.Anpassa medvetenhetsstrategin, identifiera områden med större risk och förstärk kulturen att "stanna upp och tänka" innan man följer misstänkta instruktioner på en webbplats eller i ett e-postmeddelande.

Dessutom är det viktigt att företagen är beredda att snabbt reagera på en incident.ha tydliga responsplaner, specialiserade team eller leverantörer, och väldefinierade inneslutnings- och utrotningsprocesser på plats när ett möjligt ClickFix-fall eller någon annan kompromissvektor upptäcks.

Spridningen av ClickFix-tekniken gör det tydligt att angripare har hittat ett mycket effektivt sätt att förvandla användaren till en omedveten medbrottsling.Och de tvekar inte att kombinera det med sofistikerad skadlig kod, dynamiska C2-infrastrukturer och massiva kampanjer på sociala nätverk eller sökmotorer. Att förstå hur det fungerar, känna igen dess signaler och stärka både tekniken och användarnas utbildning gör idag skillnaden mellan att drabbas av ett allvarligt intrång eller att avbryta attacken i tid.