Що таке атака ClickFix і як вона працює детально?

Інформатек Діджитал » Ресурси » Що таке атака ClickFix і як вона працює детально?

Атаки ClickFix стали одним із наймодніших трюків соціальної інженерії У світі кіберзлочинності: кампанії, які здаються нешкідливими, з фальшивими попередженнями браузера або перевірками безпеки, але зрештою змушують користувача запускати шкідливий код на своєму комп’ютері, майже не усвідомлюючи цього.

ClickFix — це далеко не технічна дивовижність, він вже використовувався в реальних кампаніях у Латинській Америці, Європі та інших регіонах., розповсюджуючи інфостелери, трояни віддаленого доступу (RAT) та складні завантажувачі, такі як GHOSTPULSE або NetSupport RAT, і навіть використовуючи відео TikTok або навчальні посібники YouTube для охоплення тисяч жертв.

Що саме являє собою атака ClickFix?

ClickFix — це відносно новий метод соціальної інженерії (популяризований з 2024 року) що базується на чомусь дуже простому: переконати користувача скопіювати та виконати команди у власній системі, щоб «виправити» нібито технічну проблему або завершити перевірку.

Замість того, щоб завантажувати шкідливу програму безпосередньо, шкідливий веб-сайт вставляє скрипт або команду в буфер обміну. (наприклад, PowerShell у Windows або команди MSHTA), а потім показує покрокові інструкції для жертви, щоб вставити та запустити його в консолі, вікні «Виконати» або терміналі.

Ця тактика використовує те, що багато дослідників називають «втомою від верифікації»Користувачі звикли швидко натискати кнопки на кшталт «Я людина», «Виправити» або «Оновити зараз», не надто ретельно аналізуючи повідомлення, що робить їх дуже вразливими, коли екран виглядає як підтвердження Cloudflare, капча Google або помилка Google Meet чи Zoom.

Назва ClickFix походить саме від кнопок, які зазвичай є на цих приманках.з текстами на кшталт «Виправити», «Як виправити», «Виправити зараз» або «Вирішити проблему», які створюють враження, що користувач застосовує швидке рішення, хоча насправді він копіює та запускає скрипт, який завантажує шкідливе програмне забезпечення.

Як працює атака ClickFix крок за кроком

Хоча існує багато варіацій, майже всі атаки ClickFix дотримуються загальної послідовності. який поєднує скомпрометовані вебсайти, шкідливі JavaScript-скрипти та «примусове» втручання користувача для виконання коду.

Першим кроком зазвичай є відвідування легітимного веб-сайту, який був скомпрометований, або безпосередньо шкідливої ​​сторінки., на який жертва потрапляє за посиланням у фішинговому електронному листі, маніпуляціями з результатами пошукової видачі (шкідлива SEO), шкідливою рекламою або навіть із відео TikTok чи YouTube з нібито хитрощами для активації платного програмного забезпечення.

На цій сторінці відображається фальшиве попередження або підтвердження, що імітує технічну проблему.: помилка завантаження документа, збій оновлення браузера, проблеми з мікрофоном або камерою в Google Meet/Zoom, або нібито перевірка на наявність ботів, така як Cloudflare або reCAPTCHA, яка не дозволяє вам продовжити, доки щось не буде «виправлено».

Щойно користувач натискає кнопку «правильно» або ставить галочку в полі «Я людина»Скрипт JavaScript автоматично вставляє шкідливу команду в буфер обміну, зазвичай завуальовану команду PowerShell або MSHTA, яка потім завантажує інший фрагмент шкідливого програмного забезпечення з віддаленого сервера.

На веб-сайті відображається детальний посібник для жертви щодо виконання цієї команди., наприклад:

• Натисніть кнопку «Виправити», щоб «скопіювати код рішення».
• Натисніть клавіші Win+R, щоб відкрити вікно «Виконати» на Windows.
• Натисніть Ctrl+V, щоб вставити те, що знаходиться в буфері обміну (зловмисна команда).
• Натисніть Enter, щоб «виправити проблему» або продовжити перевірку.

У більш просунутих варіантах цей трюк виконується за допомогою Win+X або консолі браузера.Користувачеві пропонується відкрити термінал PowerShell з правами адміністратора з меню швидкого доступу (Win+X) або скористатися консоллю браузера (F12 або Ctrl+Shift+I) та вставити туди блок коду JavaScript або функцію «перевірки».

Після виконання команди решта інфекції розвивається у фоновому режимі.Скрипт завантажує інші частини з серверів командування та управління (C2), розпаковує файли, виконує шкідливі DLL-файли шляхом завантаження збоку та встановлює інфо-викрадачів або RAT-файли в пам'ять або на диск.

Чому ClickFix так важко виявити

Одна з найбільших переваг ClickFix для зловмисників полягає в тому, що він обходить багато традиційних бар'єрів безпеки.оскільки ланцюжок зараження, схоже, починається від самого користувача, а не із завантаженого файлу чи класичного експлойту.

Не обов'язково має бути підозріле вкладення чи виконуваний файл, завантажений безпосередньо з браузера.Це означає, що багато фільтрів електронної пошти, блокувальників завантажень та перевірок репутації URL-адрес не виявляють нічого відверто шкідливого на цьому першому етапі.

Команда виконується з «довіреної оболонки» системи, такої як PowerShell, cmd.exe або консоль браузера.Це надає шкідливому програмному забезпеченню видимості легітимної діяльності та ускладнює роботу антивірусних програм на основі сигнатур і деяких рішень безпеки, які не дуже добре справляються з поведінковим аналізом.

Продукти безпеки зазвичай виявляють загрозу після того, як корисне навантаження вже виконано. або спроби інтеграції в захищені процеси, зміни критичних файлів, таких як файл hosts, встановлення постійного зберігання даних або зв'язок із сервером C2; тобто на етапі після експлуатації.

До того часу зловмисник міг отримати значний доступ до системи.: підвищення привілеїв, крадіжка облікових даних, непрямий доступ через корпоративну мережу або навіть спроба вимкнути антивірус та інші рівні захисту.

Де ClickFix використовується на практиці: поширені канали та приманки

Розслідування, проведені різними лабораторіями безпеки, показали, що ClickFix використовується у величезному спектрі кампаній., орієнтований як на домашніх користувачів, так і на компанії в критично важливих секторах.

Зловмисники часто покладаються на ці канали для розгортання своїх приманок ClickFix.:

• Зламані легітимні вебсайти, в які вони впроваджують JavaScript-фреймворки, такі як ClearFake, для відображення фальшивих повідомлень про оновлення або перевірку.
• Шкідлива реклама (malvertising)особливо банери та спонсорована реклама, які перенаправляють на сторінки завантаження фальшивого програмного забезпечення або перевірки браузера.
• Навчальні посібники та відео на YouTube або TikTok, з нібито хитрощами для активації програмного забезпечення або безкоштовного розблокування преміум-функцій.
• Фальшиві форуми технічної підтримки та вебсайти, що імітують довідкові портали, де «рекомендується» виконувати команди для виправлення системних помилок.

У Латинській Америці вже задокументовано випадки зламу офіційних вебсайтів та вебсайтів університетів.Наприклад, веб-сайт Школи промислового машинобудування Католицького університету Чилі або веб-сайт Фонду поліцейського житла Перу, які зрештою показували своїм відвідувачам потоки ClickFix.

Американські служби безпеки попереджають про кампанії, спрямовані на користувачів, які шукають ігри, програми для читання PDF-файлів, браузери Web3 або програми для обміну повідомленнями.Все це робиться за допомогою використання щоденних пошукових запитів для перенаправлення на сторінки, що використовують ClickFix.

Також спостерігалися кампанії, що спираються на нібито сторінки Google Meet, Zoom, DocuSign, Okta, Facebook або Cloudflare., де відображається помилка браузера або перевірка CAPTCHA, що змушує користувача дотримуватися послідовності копіювання та виконання команд.

Найпоширеніше шкідливе програмне забезпечення, що розповсюджується разом із ClickFix

ClickFix рідко є єдиним елементом атакиЗазвичай це просто початковий вектор, який дозволяє розгортання багатоетапного ланцюга зараження з широким спектром шкідливого програмного забезпечення.

Серед найвідоміших сімей, яких спостерігали в останніх кампаніях, є:

• Інфостейлери, такі як Vidar, Lumma, Stealc, Danabot, Atomic Stealer або Odyssey Stealer, що спеціалізується на крадіжці облікових даних браузера, файлів cookie, даних автозаповнення, криптовалютних гаманців, облікових даних VPN та FTP тощо.
• RAT (трояни віддаленого доступу), такі як NetSupport RAT або ARECHCLIENT2 (SectopRAT)які дозволяють зловмисникам контролювати систему, виконувати команди, викрадати інформацію та запускати наступні фази, включаючи програми-вимагачі.
• Розширені завантажувачі, такі як GHOSTPULSE, Latrodectus або ClearFakeякі діють як клей, завантажуючи, розшифровуючи та завантажуючи наступні фрагменти в пам'ять, часто з дуже складними шарами обфускації та шифрування.
• Інструменти для крадіжки фінансової та корпоративної інформації, які витягують дані з форм, поштових клієнтів, систем обміну повідомленнями та бізнес-додатків.

В активних кампаніях протягом 2024 та 2025 років ClickFix був помічений як постачальник послуг у складні ланцюжки.Наприклад, пастка ClickFix, яка запускає PowerShell, завантажує ZIP-файл, що містить легітимний виконуваний файл (наприклад, jp2launcher.exe в Java) та шкідливу DLL-бібліотеку, і шляхом непрямого завантаження запускає NetSupport RAT на комп'ютері.

Ще один поширений випадок – використання MSHTA із завуальованими URL-адресами доменів, таких як iploggerco., які імітують легітимні служби скорочення або реєстрації IP-адрес; звідти завантажується скрипт PowerShell, закодований у Base64, який зрештою випускає стагери Lumma Stealer або подібні.

Реальні приклади з практики та рекомендовані кампанії з ClickFix

Звіти кількох команд реагування на інциденти та лабораторій безпеки виявили численні високоактивні кампанії що обертаються навколо ClickFix як точки входу.

У бізнес-секторі помітний вплив спостерігається в таких секторах, як передові технології, фінансові послуги, виробництво, роздрібна та оптова торгівля, державне управління, професійні та юридичні послуги, енергетика та комунальні послуги, серед багатьох інших.

Під час кампанії травня 2025 року зловмисники використовували ClickFix для розгортання NetSupport RAT. через фальшиві сторінки, що видавалися за DocuSign та Okta, використовуючи інфраструктуру, пов'язану з фреймворком ClearFake, для впровадження JavaScript, який маніпулював буфером обміну.

Протягом березня та квітня 2025 року було задокументовано збільшення трафіку до доменів, контрольованих родиною Latrodectus., яка почала використовувати ClickFix як початковий метод доступу: скомпрометований портал перенаправляв на фальшиву перевірку, жертва запускала PowerShell з Win+R, і це завантажувало MSI, який розміщував шкідливу DLL-бібліотеку libcef.dll.

Паралельно було виявлено кампанії з помилкового використання текстів, пов'язані з Lumma Stealer.Під час цих атак жертв просили виконати команди MSHTA, які вказували на домени, що імітують iplogger; ці команди завантажували сильно обфусковані скрипти PowerShell, які зрештою розпаковували пакети з виконуваними файлами, такими як PartyContinued.exe та вмістом CAB (Boat.pst), щоб налаштувати механізм сценаріїв AutoIt, відповідальний за запуск фінальної версії Lumma.

Elastic Security Labs також описала кампанії, де ClickFix слугує початковим гачком для GHOSTPULSE.який, у свою чергу, завантажує проміжний завантажувач .NET і, нарешті, впроваджує ARECHCLIENT2 у пам'ять, обходячи такі механізми, як AMSI, шляхом перехоплення та розширеного обфускації.

На арені кінцевих користувачів кілька постачальників продемонстрували спрощені приклади атаки ClickFix. у якому сторінка «оновлення браузера» або підроблена CAPTCHA непомітно копіює скрипт у буфер обміну, а потім змушує користувача вставити його в PowerShell з правами адміністратора, що полегшує підключення до інфраструктури C2 та завантаження виконуваних файлів, що змінюють систему.

Одним особливо тривожним явищем є поява ClickFix на TikTok.Відео, згенеровані навіть за допомогою штучного інтелекту, рекламують «прості методи» активації безкоштовних платних версій Office, Spotify Premium або програм для редагування, але насправді вони спонукають користувачів копіювати та вставляти шкідливі команди, які встановлюють програми-викрадачі інформації, такі як Vidar або Stealc.

Як аналітики виявляють зараження ClickFix

Хоча користувачеві це може здатися чорною магією, зараження ClickFix залишають технічний слід. які команди з пошуку загроз та EDR можуть використовувати для виявлення інциденту.

У середовищах Windows одним із пунктів аналізу є ключ реєстру RunMRU., у якому зберігаються нещодавно виконані команди з вікна «Виконати» (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Аналітики переглядають ці записи в пошуках підозрілих закономірностей.: заплутані команди, використання PowerShell або MSHTA з незвичайними URL-адресами, звернення до невідомих доменів або посилання на адміністративні інструменти, які звичайний користувач зазвичай не використовує.

Коли зловмисники використовують варіант Win+X (меню швидкого доступу) для запуску PowerShell або командного рядкаПідказка знаходиться в телеметрії процесів: події створення процесів (наприклад, ID 4688 у журналі безпеки Windows), де explorer.exe породжує powershell.exe одразу після натискання Win+X.

Кореляція з іншими подіями, такими як доступ до папки %LocalAppData%\Microsoft\Windows\WinX\ або підозрілі мережеві підключення після цього виконанняЦе допомагає окреслити типову поведінку зараження ClickFix, особливо якщо одразу після нього з'являються такі процеси, як certutil.exe, mshta.exe або rundll32.exe.

Ще один вектор виявлення – це зловживання буфером обмінуРозширені рішення для фільтрації URL-адрес та безпеки DNS можуть ідентифікувати JavaScript, який намагається вставити шкідливі команди в буфер обміну, що служить для блокування сторінки до того, як користувач завершить послідовність.

Чого намагаються досягти зловмисники за допомогою техніки ClickFix?

За всією цією соціальною інженерією криється чітка мета: отримання економічної вигоди від викраденої інформації., як від окремих користувачів, так і від організацій.

Інфостейлери, розгорнуті через ClickFix, призначені для збору облікових даних, файлів cookie та конфіденційних даних. зберігаються в браузерах, поштових клієнтах, корпоративних додатках або криптовалютних гаманцях, а також у внутрішніх документах та фінансових даних.

За допомогою цього матеріалу зловмисники можуть здійснювати численні злочинні дії:

• Вимагальні компаніїпогрози витоком конфіденційної інформації про організацію або її клієнтів.
• Здійснювати пряме фінансове шахрайство шляхом використання скомпрометованих банківських рахунків, систем онлайн-платежів або криптогаманців.
• Видавання себе за компанію або її співробітників здійснювати шахрайство проти третіх сторін, таке як типове шахрайство з боку генерального директора або атаки BEC.
• Продаж облікових даних та пакетів даних у даркнеті які інші злочинні групи використовуватимуть у майбутніх нападах.
• Здійснювати промислове або геополітичне шпигунство коли цільовою метою є конкретна організація або стратегічний сектор.

У багатьох задокументованих кампаніях ClickFix був лише першим кроком до масштабніших атак.в тому числі розгортання програм-вимагачів після крадіжки облікових даних, тривалого доступу до корпоративних мереж або використання скомпрометованої інфраструктури як трампліну для інших цілей.

Як користувачі та компанії можуть захистити себе від ClickFix?

Захист від ClickFix поєднує технології, найкращі практики та високий рівень обізнаності.тому що слабкою ланкою, яку використовує ця техніка, є саме поведінка користувача.

На індивідуальному рівні існує кілька дуже простих золотих правил що значно знижує ризик падіння:

• Ніколи не вставляйте код у консоль (PowerShell, cmd, термінал, консоль браузера) лише тому, що вас про це просить вебсайт.яким би законним це не здавалося.
• Остерігайтеся перевірок Cloudflare, CAPTCHA або сторінок «оновлення браузера», які вимагають дивних кроків. більше, ніж просто натискання на поле чи кнопку.
• Завжди оновлюйте свій браузер, операційну систему та програмиВстановлення патчів з офіційних джерел, а не з випадкових банерів чи спливаючих вікон.
• Активуйте двофакторну автентифікацію (2FA) для важливих облікових записів, щоб ускладнити життя зловмисникам, навіть якщо їм вдасться викрасти пароль.

У корпоративному середовищі, окрім цих рекомендацій, компаніям слід зробити ще один крок та розглядати ClickFix як окрему загрозу в рамках своєї стратегії безпеки.

Деякі ключові заходи для організацій є:

• Обмежити використання інструментів виконання команд (PowerShell, cmd, MSHTA) через групові політики, списки керування програмами або конфігурації EDR, щоб їх використовували лише технічні профілі та завжди реєстрували активність.
• Впроваджуйте сучасні рішення для захисту від шкідливих програм та EDR з можливостями виявлення на основі поведінки, здатними виявляти підозрілі моделі виконання навіть за втручання користувача.
• Моніторинг мережевого трафіку та вихідних з’єднань з доменами з поганою репутацієюособливо щодо сервісів скорочення URL-адрес, нещодавно зареєстрованих доменів або незвичайних доменів верхнього рівня.
• Періодично переглядайте артефакти, такі як RunMRU, журнали PowerShell та події безпеки для виявлення ознак неправильного використання Win+R, Win+X або адміністративних консолей.

Фундаментальним стовпом є безперервне та реалістичне навчання персоналуТеоретичного курсу недостатньо; корисно проводити контрольовані тести соціальної інженерії, що імітують кампанії типу ClickFix, шахрайство з боку генерального директора, просунутий фішинг або шкідливу рекламу.

Ці симуляції дозволяють нам виміряти рівень зрілості робочої сили щодо цих методів.Скоригуйте стратегію підвищення обізнаності, визначте області з підвищеним ризиком та зміцніть культуру «зупиніться та подумайте», перш ніж виконувати підозрілі інструкції на веб-сайті або в електронному листі.

Крім того, вкрай важливо, щоб компанії були готові швидко реагувати на інцидентимати чіткі плани реагування, спеціалізовані команди або постачальників, а також чітко визначені процеси стримування та ліквідації на випадок виявлення можливого випадку ClickFix або будь-якого іншого вектора компрометації.

Поширення техніки ClickFix чітко показує, що зловмисники знайшли дуже ефективний спосіб перетворити користувача на мимовільного співучасника.І вони не вагаються поєднувати це зі складним шкідливим програмним забезпеченням, динамічними інфраструктурами C2 та масштабними кампаніями в соціальних мережах чи пошукових системах; розуміння того, як це працює, розпізнавання його сигналів та посилення як технологій, так і освіти користувачів сьогодні є вирішальним фактором між серйозним порушенням та своєчасним відсіканням атаки.

Пов'язана стаття:

Як захистити себе від програм-вимагачів Interlock та Warlock: тактичний та практичний посібник