Hakerzy Wykorzystują Sztuczki ‚ClickFix’ do Rozprzestrzeniania Malware’u

Hakerzy wykorzystują „ClickFix” w inżynierii społecznej, zwodząc użytkowników fałszywymi błędami lub CAPTCHA w celu wykonania PowerShell, rozprzestrzeniając złośliwe oprogramowanie na całym świecie od 2024 roku.

Cyberprzestępcy coraz częściej korzystają z podstępnego chwytu inżynierii społecznej zwanego „ClickFix” do rozprowadzania złośliwego oprogramowania, wykorzystując instynkt osób do rozwiązywania problemów na własną rękę.

Badania przeprowadzone przez Proofpoint ujawniły w poniedziałek rosnące stosowanie tej metody, której użycie obserwowano w licznych kampaniach od marca 2024 roku.

Technika „ClickFix” polega na wyświetlaniu fałszywych komunikatów o błędach za pomocą okien dialogowych. Te wiadomości wyglądają na prawdziwe i zachęcają użytkowników do samodzielnego rozwiązania rzekomego problemu, wyjaśnia Proofpoint.

Często, instrukcje kierują użytkowników do skopiowania i wklejenia podanego skryptu do terminala PowerShell na ich komputerze, narzędzia używanego do wykonywania poleceń w systemach Windows. Bez wiedzy użytkownika, ta czynność pobiera i uruchamia złośliwe oprogramowanie.

Proofpoint zaobserwował takie podejście w emailach phishingowych, złośliwych URLach, oraz na skompromitowanych stronach internetowych.

Aktorzy zagrożeń ukrywają swoje oszustwa pod postacią powiadomień od zaufanych źródeł, takich jak Microsoft Word, Google Chrome, a nawet lokalne usługi dostosowane do konkretnych branż, takie jak logistyka czy transport.

Szczególnie przebiegła wersja ClickFix obejmuje fałszywe wyzwania CAPTCHA, w których użytkownicy są proszeni o „udowodnienie, że są ludźmi”, wyjaśnia Proofpoint.

Sztuczka z CAPTCHA jest sparowana z instrukcjami wykonania złośliwych poleceń, które instalują złośliwe oprogramowanie, takie jak AsyncRAT, DarkGate czy Lumma Stealer. Co ciekawe, zestaw narzędzi do tej fałszywej taktyki CAPTCHA pojawił się na GitHubie, ułatwiając przestępcom korzystanie z niej.

Według Proofpoint, hakerzy zaatakowali szereg organizacji na całym świecie, w tym podmioty rządowe na Ukrainie. W jednym przypadku udawali GitHub, używając fałszywych alertów bezpieczeństwa do kierowania użytkowników na złośliwe strony internetowe.

Te oszustwa doprowadziły do infekcji malware w ponad 300 organizacjach.

To, co sprawia, że ClickFix jest tak skuteczne, to jego zdolność do omijania wielu środków bezpieczeństwa. Ponieważ użytkownicy dobrowolnie wykonują złośliwe polecenia, tradycyjne filtry pocztowe i narzędzia antywirusowe są mniej skłonne do oznaczania tej aktywności – mówi Proofpoint.

Proofpoint podkreśla, że ta taktyka jest częścią szerszego trendu w hakowaniu: manipulacji ludzkim zachowaniem, a nie tylko wykorzystywania technicznych luk. Hakerzy polegają na gotowości użytkowników do samodzielnego rozwiązywania problemów, często pomijając zespoły IT w procesie.

Aby przeciwdziałać temu zagrożeniu, organizacje powinny edukować pracowników na temat oszustw ClickFix, podkreślając znaczenie sceptycyzmu wobec nieproszonych instrukcji do rozwiązywania problemów.

Pozostanie czujnym i zgłaszanie podejrzanych e-maili czy wyskakujących okienek może pomóc w uniknięciu stania się ofiarą tych przebiegłych ataków.