Нова фішинг-атака під назвою ClickFix використовує простий, але ефективний метод соціальної інженерії. Щоб змусити жертв самостійно виконувати шкідливі команди на своїх пристроях, зловмисники видають це за звичайні CAPTCHA або кнопки «Я не робот».
Нова фішинг-атака під назвою ClickFix використовує простий, але ефективний метод соціальної інженерії. Щоб змусити жертв самостійно виконувати шкідливі команди на своїх пристроях, зловмисники видають це за звичайні CAPTCHA або кнопки «Я не робот».
Фішинг ClickFix, проаналізований експертами SlashNext, діє шляхом маскування під відомі елементи інтернет-безпеки, як-от капча Cloudflare Turnstile. За посиланням описано, що користувачам показується фальшива сторінка з «перевіркою людини». Вона містить офіційні логотипи та навіть унікальний «Ray ID», щоб виглядати максимально правдоподібно.
Після кліку на «Підтвердити, що ви людина» жертві пропонується виконати ряд кроків: відкрити діалогове вікно Windows Run (Win+R), вставити вміст буфера обміну (Ctrl+V) і натиснути Enter. У цей момент користувач непомітно запускає прихований PowerShell-скрипт, який вже скопійований у буфер обміну за допомогою шкідливого JavaScript. Цей скрипт зазвичай завантажує і запускає шкідливе ПЗ другого рівня, як-от трояни віддаленого доступу чи програми для крадіжки даних.
ClickFix уникає традиційних методів завантаження файлів, оскільки користувач запускає системну команду, що допомагає обходити антивірусні засоби, які переважно відстежують нові виконувані файли. Фішинг-сторінка часто створена як один HTML-файл із локально вбудованими ресурсами та обфусцированим кодом для приховування шкідливих операцій.
Секрет успіху ClickFix — у використанні людської довіри та звички швидко проходити капчі й перевірки безпеки. Багато користувачів просто довіряють знайомому інтерфейсу, не підозрюючи, що вставляють у систему небезпечний код. Навіть перевірка URL може не допомогти, якщо сторінка розміщена на схожому домені або зламаному сайті.
Фішинг ClickFix свідчить про те, що сучасні загрози в кібербезпеці дедалі більше зосереджуються на обмані користувача, а не на складності технічних вразливостей. Розробникам антивірусних та браузерних рішень слід адаптуватися під нові техніки соціальної інженерії. Водночас користувачам слід дотримуватися базових правил безпеки, ретельно перевіряти дії, які вимагають виконання системних команд, та навчати себе розпізнавати ознаки підроблених інтерфейсів.
Ця атака показує, що кіберзлочинці не завжди потребують складних експлойтів, а можуть обирати методи, що маніпулюють поведінкою користувача. Тому важливо нагадувати про обережність, ніколи не вставляти незнайомі команди у системні інструменти та використовувати сучасні рішення для захисту браузера і мережі.
Дещо схожим методом соціальної інженерії користуються російські хакери. Нову атаку на користувачів macOS зафіксувала компанія CloudSek. Зловмисники поширюють шкідливе ПЗ AtomicOS (AMOS), яке краде паролі, криптогаманці та дані системи.
