Что такое ClickFix
Впервые применение данной техники специалисты зафиксировали еще весной 2024 года. С тех пор злоумышленники расширили набор используемых сценариев и тестируют новые варианты использования.
ClickFix, по сути, это попытка реализовать выполнение вредоносной команды только за счет социальной инженерии. В большинстве случаев для этого используются возможности утилиты PowerShell – пользователь должен скопировать предложенную строку кода, вставить ее в окно запуска и активировать при помощи клавиши Enter.
На первом этапе атаки используется поддельное уведомление о некой проблеме. Далее предлагается выполнить ряд простых действий для решения. Варианты могут отличаться, но цель совпадает – скопировать определенный набор символов для последующего запуске в окне Run. В Widows 11 инструкцию PowerShell можно активировать и из других мест, например, строки поиска, которая открывается после нажатия на иконку с фирменным логотипом. Данное окно вызывает меньше подозрений, поэтому чаще всего злоумышленники используют именно данный модуль.
Название ClickFix обусловлено тем, что в уведомлении часто присутствует кнопка, название которой в определенной мере связано со словом «починить» (fix). На нее и нужно нажать потенциальной жертве, чтобы устранить вымышленную проблему. Также могут использоваться другие приемы, например предложение подтвердить, что пользователь не является роботом. Активные пользователи сети уже привыкли к таким запросам, поэтому они не вызывают у них подозрения.
Наибольшее распространение получила инструкция следующего вида:
— нажать кнопку для копирования кода;
— нажать комбинацию Win+R;
— нажать комбинацию Ctrl+V
— активировать Enter.
На первом шаге в буфер обмена копируется вредоносный скрипт (пользователю он не показывается). Далее открывается окно «Выполнить», в поле ввода вставляется информация из буфера обмена, после чего инициируется запуск скрипта.
Дальнейшие действия уже зависят от функционала вредоносного скрипта, к примеру, может загружаться с внешнего сервера другое приложение для атаки на скомпрометированную систему. Фактически получается, что пользователь сам заражает свою систему.
Типичные схемы атак
Расследование показало, что злоумышленники оценили потенциал данной схемы и активно работают над ее улучшением. Нередко фиксируются попытки использования различных комбинаций с уже отработанными векторами атак. В некоторых случаях предварительно создается новый сайт популярной тематики для привлечения новых пользователей. Иногда для данных целей используются взломанные интернет-площадки. Фиксируются инциденты, когда такие инструкции присылались через электронную почту, мессенджеры или социальные сети.
Типовые атаки
Не удается открыть запрошенную страницу, для устранения проблемы необходимо обновить обозреватель. Пользователю не дают открыть запрошенную страницу, для решения проблемы предлагают обновить программу при помощи инструкции.
Ошибка в процессе загрузки документа. Аналогичная схема, но проблема имитируется на этапе просмотра файла. Пользователю предлагается установить плагин для корректного отображения документа.
Сбой при открытии документа, присланного по электронной почте. Используется популярная схема с подменой формата документа. Иконка имитирует популярный офисный документ, но в реальности открывается подготовленный HTML-файл. Далее используется уже упомянутое предложение установить нужный плагин.
Имитация проблем с камерой или микрофоном в Zoom или Google Meet. Нетипичная схема с поддельным сайтом популярной платформы для видеозвонков. Пользователю присылается ссылка с приглашением подключиться к звонку. Далее отображается уведомление об обнаружении проблем с устройством и поддельная инструкция по восстановлению работы.
Поддельная CAPTCHA. Сайт предлагает пройти проверку при помощи выполнения набора действий.
Методы защиты
Самый простой способ защиты – блокировка сочетания Win+R. К примеру, для офисных ПК оно востребовано очень редко. Однако это не является панацеей, поскольку в инструкции от злоумышленников может указываться, как вручную запустить данную утилиту. Более того, в Windows 11 такой скрипт можно запустить при помощи строки поиска.
Защитные меры должны быть комплексными, включая информирование пользователей об опасности таких манипуляций с системой. Они должны понимать, что даже настолько простые действия могут привести к взлому системы.