Атака ClickFix обманом заставляет пользователей самостоятельно запускать вредоносный код

Механизм атаки обманчиво прост. Жертва попадает на поддельный сайт. Чаще всего это страница с фальшивой CAPTCHA-проверкой, портал верификации документов или копия известного бренда. Посетителю предлагают подтвердить, что он не робот. Для этого страница даёт инструкцию: нажать сочетание клавиш Windows + R, чтобы открыть окно "Выполнить", а затем вставить туда команду. Коварство в том, что злоумышленный код уже незаметно скопирован в буфер обмена страницы. Пользователь выполняет указание, и вредоносный PowerShell-скрипт (сценарий на языке управления системой Windows) запускается на его устройстве. Никакого взлома, никакой уязвимости - только инструкция, которой жертва следует в точности.

Особую опасность ClickFix придаёт то, как он обходит большинство механизмов защиты на уровне браузера. Вредоносный код не сохраняется на диске в подозрительном виде. Он прибывает через буфер обмена, выполняется в оперативной памяти и исчезает до того, как инструменты безопасности успевают зафиксировать событие.

Специалисты компании ReversingLabs проанализировали эту кампанию и пришли к выводу, что традиционные антивирусные решения не справляются с новой угрозой. Проблема не в том, что антивирусы не умеют обнаруживать вредоносное ПО, а в том, что инфраструктура злоумышленников постоянно меняется. Появляются новые домены, новые адреса загрузки полезной нагрузки, новые скрипты. Неизменным остаётся только способ доставки: HTML-страница, которая записывает команду в буфер обмена после нажатия поддельной кнопки верификации.

Эксперты разработали особое YARA-правило (правило для инструмента анализа вредоносного кода, выявляющее файлы по характерным признакам). Оно нацелено на устойчивые элементы кампании ClickFix. В своей коллекции файлов исследователи обнаружили 283 образца, соответствующих этому шаблону. Результаты оказались показательными: из 283 файлов только 104 были классифицированы как вредоносные хотя бы одним антивирусным движком. Целых 173 образца на момент проверки признавались чистыми. Ещё 5 образцов остались неклассифицированными, а один - подозрительным.

Таким образом, более 60% файлов, которые автоматическое правило определило как ClickFix, не были замечены антивирусами. Многие из этих файлов поступили на анализ всего за несколько дней или даже часов до исследования. Метки времени говорят сами за себя: самые свежие совпадения датируются 22-24 марта 2026 года. Это образцы, увиденные впервые за последние 48 часов. Речь идёт об активных атаках, а не об устаревших угрозах.

Созданное правило нацелено на структурные элементы страницы. Оно состоит из четырёх логических групп, повторяющих цепочку атаки. Первая группа включает строки социальной инженерии, которые видит жертва: "Windows Key", "cmd", "Ctrl + V". Вторая группа описывает контекст поддельной капчи: "not a robot", "Verification Steps", "reCAPTCHA". Третья группа фиксирует индикаторы вредоносной команды PowerShell: упоминание самого PowerShell, флаг Bypass для обхода политик безопасности, флаги -NoP и -NonI. Четвёртая группа - методы манипуляции буфером обмена через JavaScript: document.execCommand('copy') или navigator.clipboard.writeText.

Условие срабатывания требует совпадений как минимум по двум строкам из первых трёх групп и хотя бы по одному методу работы с буфером обмена. Одиночное совпадение ничего не даёт - файл одновременно должен выглядеть как поддельная капча, содержать признаки PowerShell и активно влиять на буфер обмена.

Два реальных примера иллюстрируют разницу между простыми и замаскированными атаками. Первый образец с названием Gift Card.html и датой 30 декабря 2025 года оказался простейшим случаем. Вредоносная команда PowerShell была записана в HTML-коде открытым текстом. Команда загружала bat-файл с удалённого сервера, запускала его скрытно, ждала пять секунд и удаляла себя. Статический анализ мгновенно извлекал вредоносный URL. Второй образец idOS Staking.html от 20 марта 2026 года оказался сложнее. Команду закодировали с помощью Base64 и флага EncodedCommand. Чтобы добраться до скрытого адреса, понадобилась автоматическая расшифровка. После декодирования выяснилось, что скрипт загружает вторую стадию атаки с домена portal‐idos.network методом POST. Никакой антивирус на момент анализа не обнаружил этот URL как вредоносный.

Метод ClickFix не исчезнет. Он эффективен, дёшев для злоумышленников и трудно уловим для классических антивирусов, особенно в первые часы после запуска новой кампании. Однако у этой атаки есть и слабая сторона - её шаблонность. Способ доставки настолько стабилен, что его можно описать в YARA-правиле. Это даёт защитникам возможность выявлять новые образцы до того, как их заметят антивирусы. А автоматический анализ позволяет за секунды расшифровать код и извлечь сетевые индикаторы, блокируя инфраструктуру атакующих.

Domains

• authone-drive.online
• portal-idos.network

URLs

• portal-idos.network/auth?xc=1150125
• authone-drive.online/client.bat