16 октября 2025 года
Пользователи по всему миру встревожены ростом волны атак ClickFix. Это разновидность социальной инженерии, при которой злоумышленники обманом подталкивают пользователя к самостоятельному запуску вредоносного кода на устройстве.
Атака начинается с визита на взломанный или поддельный сайт, где отображается предупреждение: например, что страница некорректно отображается, произошла ошибка в браузере или требуется обновление.
На экране появляется кнопка — «Исправить», «Проверить» или «Обновить». При ее появлении в буфер обмена незаметно копируется вредоносный код, то есть даже не обязательно нажимать на кнопку — копирование автоматическое. Затем пользователю предлагают вставить этот код в командную строку или окно, кликнув «Выполнить». Как только он это делает — вредоносная программа запускается и устанавливается, зачастую без участия антивируса, потому что действия исходят от самого пользователя.
Ниже представлена имитация упрощенного варианта атаки ClickFix.
Во время запуска и просмотра контента в браузере неожиданно для пользователя появляется предупреждение о том, что что-то пошло не так с отображением содержимого страницы, и ошибки связаны с недавним обновлением браузера.
Для решения пользователю предлагается выполнить ряд манипуляций по исправлению данной проблемы:
- Нажать кнопку исправления «Fix it!»;
- Нажать правой кнопкой мыши на иконку Windows;
- В списке выбрать Windows PowerShell с правами администратора;
- Правой кнопкой мыши вставить код и исполнить.
При нажатии кнопки в браузере незаметно для пользователя копируется вредоносный исполняемый скрипт с последующей вставкой его в терминал PowerShell и исполнением:
Скрипт создает удаленное соединение c инфраструктурой C2, которая позволяют злоумышленникам удаленно управлять скомпрометированными системами.
В данном случае создается соединение с удаленным хостом C2, скачивается полезная нагрузка в виде исполняемого файла на хост пользователя, который предназначен для модификации файла hosts и запускается механизм его активации с последующим завершением скрипта.
На этапе запуска вредоносного файла решения Dr.Web обнаруживают его с помощью системы превентивной защиты.
Еще один распространенный вариант атаки ClickFix — мимикрирование под капчу. На экране появляется якобы легитимная проверка, а в фоновом режиме вредоносный код копируется в буфер обмена. Такая маскировка увеличивает вероятность успешной атаки, заставляя пользователей невольно взаимодействовать с вредоносным контентом и при этом думать, что они просто подтверждают свою человечность.
Следом появляется инструкция по запуску кода.
Доверчивое выполнение всех шагов открывает злоумышленнику удаленный доступ к устройству: пользователь случайно запускает вредоносный скрипт.
Почему сложно обнаружить атаку ClickFix
Когда пользователь нажимает кнопку на вредоносном сайте, никакой угрозы антивирус пока не видит. Это связано с тем, что на первом этапе все действия кажутся вполне законными: пользователь сам копирует команды, сам их вставляет и запускает — как будто делает обычные системные операции.
Обнаружение происходит позже — когда запускается вредоносный файл или код пытается встроиться в другие процессы в системе. Именно в этот момент антивирус распознает угрозу и нейтрализует ее. То есть защита срабатывает уже на так называемой постэксплуатационной стадии, когда вредоносное ПО начинает активные действия: вмешивается в защищенные процессы или ведет себя необычно.
К этому времени злоумышленник, как правило, уже подключился к системе жертвы. Это значит, что основная вредоносная нагрузка (payload) доставлена, и она может маскироваться под обычные процессы.
На этом этапе атакующий способен:
- углубить свое присутствие в системе (получить больше прав),
- собирать данные,
- перемещаться по сети,
- пытаться отключить антивирусную защиту.
Дополнительно вредоносное ПО может быть зашифровано или запутано (обфусцировано), что делает его менее заметным для стандартных механизмов защиты.
Почему важно действовать на самых ранних этапах
На этом фоне становится особенно важным не только реагировать на угрозу после ее запуска, но и предотвращать подключение злоумышленника к системе. Для этого могут использоваться такие методы, как:
- проверка содержимого буфера обмена, если в браузере появляются подозрительные сообщения с командами (например, PowerShell),
- анализ сетевого трафика и попыток установить подозрительные соединения,
- обучение пользователей методам распознавания социальной инженерии — с разбором реальных сценариев атак.
Читать оригинал
