• ul. Jana Olbrachta 94, 01-102 Warszawa
Skontaktuj się

ClickFix, czyli jak samodzielnie zainfekować swój komputer.

clickfix

Czym jest ClickFix?

ClickFix to nowa metoda ataku, która wykorzystuje socjotechnikę do nakłonienia ofiary do nieświadomego zainstalowania i wykonania złośliwego oprogramowania na swoim komputerze. Najczęściej przybiera ona formę wyskakującego okienka, które informuje użytkownika o konieczności “naprawienia” czegoś – może to być komunikat podszywający się pod Windows Update czy weryfikację CAPTCHA. Następnie prezentowane jest możliwe rozwiązanie problemu: polecenie, które trzeba samodzielnie wkleić i uruchomić w systemie. W ten sposób atak wykorzystuje odruchowe działanie użytkownika, który chcąc szybko naprawić rzekomy problem, sam daje atakującemu dostęp do systemu.

Przykład komunikatu ClickFix, Źródło: MalwareBytes

Na czym polega niebezpieczeństwo związane z ClickFixem?

Największym zagrożeniem jest użycie metod manipulacji i wykorzystanie największej podatności każdego systemu, czyli nieświadomego użytkownika. Wyświetlony zostaje komunikat, który bardzo często jest wierną kopią oryginalnej wiadomości, a ze względu na nieczęsty kontakt z takim pop-upem, użytkownik nie jest w stanie rozpoznać niebezpieczeństwa.

Kolejnym wyzwaniem, który ClickFix bardzo sprytnie ominął jest powszechność i złożoność współczesnych zabezpieczeń w systemach komputerowych. Obecne programy antywirusowe rozpoznają zdecydowaną większość potencjalnych zagrożeń i skutecznie je blokują. Dzięki wykorzystaniu sztucznej inteligencji (AI), ta ochrona jest jeszcze lepiej przygotowana do zwalczania ataków, jednak skuteczność omawianego rodzaju nie wynika z przełamania oprogramowania antywirusowego. Zamiast tego postanowiono wykorzystać użytkownika jako środek do pominięcia zabezpieczeń i uruchomienia złośliwego skryptu bezpośrednio w panelu komend.

Ostatnim czynnikiem, który znacząco wpływa na skuteczność ClickFixa jest jego powszechność oraz występowanie w różnych miejscach. Eksperci zaobserwowali, że popularnymi “nośnikami” tego zagrożenia mogą być m.in. TikTok, X/twitter czy nawet platforma Steam.

ClickFix rozprzestrzeniany jako dodatek do Spotify na platformie TikTok, Źródło: Trend Micro

Typowy przebieg ataku

Ze względu na swój charakterystyczny sposób działania, większość ataków z wykorzystaniem ClickFixa posiada zbliżoną strukturę i założenia, co pozwala je rozpoznać i im zapobiec.

  1. Wprowadzenie ofiary w błąd:
    • wyświetlenie przygotowanego komunikatu / okienka w wyniku phishingu, złośliwych reklam czy odwiedzenia zainfekowanej strony internetowej.
  2. Automatyczne skopiowanie komendy:
    • w momencie interakcji (np. kliknięcia przycisku „Napraw” lub zaznaczenia checkboxu CAPTCHA) złośliwy skrypt JavaScript na stronie kopiuje do schowka ofiary przygotowane polecenie.
  3. Instrukcje dla użytkownika:
    • we wspomnianym komunikacie wyświetlone zostają polecenia, które w zamierzeniu ma wykonać użytkownik. Najczęściej będzie to sekwencja Windows + R (otwórz wiersz poleceń), Ctrl + V (wklej ze schowka) i Enter (zatwierdź).
  4. Uruchomienie złośliwego kodu:
    • po wykonaniu instrukcji przez ofiarę następuje wykonanie wklejonego skryptu.
  5. Zainstalowanie złośliwego oprogramowania na komputerze:
    • uruchomiony skrypt pobiera złośliwe oprogramowanie z Internetu oraz instaluje tzw. backdoor, czyli zostawia “furtkę” dla cyberprzestępców, która pozwala im na dostęp do komputera.
Przebieg ataku z wykorzystaniem TikToka, Źródło: Trend Micro

Do najczęstszych rodzajów “wirusów”, które wstrzykiwane są za pomocą ClickFixa należą infostealery, czyli oprogramowanie zaprojektowane do “wykradania” wszelkich możliwych danych z komputera ofiary.

Jak się chronić przed ClickFixem?

Najskuteczniejszą ochroną przed atakami typu ClickFix jest świadomy i uważny użytkownik. Ten typ zagrożenia nie wykorzystuje luk technicznych, lecz manipuluje człowiekiem, dlatego podstawą obrony jest umiejętność rozpoznania podejrzanych sytuacji.

Przede wszystkim należy pamiętać, że żadna prawdziwa aktualizacja systemu Windows, CAPTCHA ani komunikat o błędzie nie wymaga ręcznego uruchamiania poleceń. Jeśli strona internetowa lub wyskakujące okno prosi o otwarcie okna Uruchom, PowerShella lub Wiersza poleceń i wklejenie komendy – to niemal na pewno próba ataku.

W środowisku firmowym ogromne znaczenie mają szkolenia i regularne uświadamianie pracowników, że to właśnie oni są celem takich ataków. ClickFix pokazuje, że nawet najlepsze zabezpieczenia techniczne mogą zostać pominięte, jeśli użytkownik zostanie skutecznie zmanipulowany.

Karol Sładkowski

Inne Artykuły

SClab na Dniu Zarządcy Nieruchomości
NIS2 - nowa dyrektywa UE
NIS2 – Czym jest i dlaczego Twoja firma musi być na to gotowa?
cyberbezpieczeństwo - 5 błędów
Cyberbezpieczeństwo w firmie – 5 rzeczy, które najczęściej zawodzą (i co z tym zrobić)
ataki na łańcuch dostaw
Ataki na łańcuch dostaw – ukryte zagrożenie, które może kosztować dane, reputację i pieniądze.

Kategorie

Zacznij chronić swoją firmę

Nie czekaj, aż pojawi się problem. Zadbaj o świadomość zagrożeń w swoim zespole – prosto, szybko i bez technicznego żargonu. Szkolenia, testy phishingowe i przygotowanie do NIS2 w jednym miejscu.

Rozpocznij teraz