"ClickFix": Как хакеры заставляют жертв самих запускать вредоносные команды

ClickFix-атаки набирают обороты и уже затронули множество отраслей, включая высокие технологии, финансовые услуги, производство, розничную торговлю, государственные учреждения и энергетику. По данным Unit 42, только за первые месяцы 2025 года было зафиксировано несколько десятков случаев, когда именно этот метод использовался для начального проникновения в сети организаций.

Как работает ClickFix?

Техника ClickFix основана на копировании вредоносных команд в буфер обмена жертвы (clipboard hijacking или pastejacking). Пользователю предлагается выполнить "проверку" или "исправление" через системные утилиты, такие как "Выполнить" (Win+R) или командная строка (Win+X). В этот момент веб-страница автоматически подменяет содержимое буфера обмена на вредоносный скрипт, который жертва вставляет и запускает вручную.

Этот метод эффективен, потому что команды выполняются через доверенные системные инструменты, что затрудняет их обнаружение стандартными средствами защиты. Кроме того, жертва сама инициирует выполнение кода, что делает атаку менее подозрительной.

Основные угрозы, связанные с ClickFix

Среди самых активных кампаний 2025 года выделяются три:

1. Распространение NetSupport RAT с новым загрузчиком

Злоумышленники имитируют страницы популярных сервисов, таких как DocuSign и Okta, предлагая пользователям выполнить "проверку безопасности". После выполнения команды загружается PowerShell-скрипт, который устанавливает NetSupport RAT - легальную программу удаленного доступа, часто используемую киберпреступниками. Новый загрузчик скрывает вредоносную активность через механизм side-loading, загружая вредоносный код через легитимные компоненты Java (jp2launcher.exe).

2. Атаки с использованием Latrodectus

Latrodectus - это новый вид вредоносного ПО, которое собирает данные и передает их злоумышленникам. ClickFix-версия атаки начинается с поддельной страницы верификации, где пользователю предлагается выполнить команду, загружающую JavaScript-файл. Тот, в свою очередь, запускает установщик MSI, который загружает Latrodectus в виде DLL-файла (libcef.dll) и внедряет его через легитимное приложение.

3. Lumma Stealer и поддельные сервисы IP-логирования

В этой схеме пользователей перенаправляют на фейковую версию сервиса IP Logger (iplogger[.]co), где им предлагается выполнить команду MSHTA. После этого загружается зашифрованный PowerShell-скрипт, который устанавливает Lumma Stealer - троянец, специализирующийся на краже данных. Новизна этой кампании заключается в использовании скриптового языка AutoIt для запуска вредоносного кода, что усложняет его обнаружение.

Вывод

ClickFix - это опасный вектор атак, который требует от организаций повышенной бдительности. Поскольку злоумышленники постоянно совершенствуют свои методы, важно не только внедрять технические средства защиты, но и обучать сотрудников распознаванию социальной инженерии. В ближайшие месяцы стоит ожидать дальнейшего роста количества таких атак, особенно в секторах с высокой ценностью данных, таких как финансы и государственные учреждения.

Если у вас есть подозрения о возможном взломе, рекомендуется немедленно обратиться к специалистам по реагированию на инциденты, таким как Unit 42. Вовремя обнаруженная атака может предотвратить серьезные последствия, включая утечку данных и ransomware-инциденты.

IPv4

• 80.77.23.48

Domains

• agroeconb.live
• animatcxju.live
• doccsign.it.com
• docusign.sa.com
• dosign.it.com
• heyues.live
• iplogger.co
• lasix20.com
• leocompany.org
• loyalcompany.net
• mhousecreative.com
• mh-sns.com
• oktacheck.it.com
• pub-164d8d82c41c4e1b871bc21802a18154.r2.dev
• pub-626890a630d8418ea6c2ef0fa17f02ef.r2.dev
• pub-7efc089d5da740a994d1472af48fc689.r2.dev
• pub-a5a2932dc7f143499b865f8580102688.r2.dev
• stuffgull.top
• sumeriavgv.digital

URLs

• http://80.77.23.48/service/settings/5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4.
• https://btco.live/r/
• https://byjs.live/v/
• https://decr.live/j/
• https://diab.live/up/
• https://izan.live/r/
• https://k.mailam.live/234234
• https://k.veuwb.live/234
• https://lexip.live/n/
• https://mhbr.live/do/
• https://r.netluc.live
• https://rimz.live/u/
• https://webbs.live/on/

SHA256

• 06efe89da25a627493ef383f1be58c95c3c89a20ebb4af4696d82e729c75d1a7
• 2bc23b53bb76e59d84b0175e8cba68695a21ed74be9327f0b6ba37edc2daaeef
• 33a0cf0a0105d8b65cf62f31ec0a6dcd48e781d1fece35b963c6267ab2875559
• 3acc40334ef86fd0422fb386ca4fb8836c4fa0e722a5fcfa0086b9182127c1d7
• 506ab08d0a71610793ae2a5c4c26b1eb35fd9e3c8749cd63877b03c205feb48a
• 52e6e819720fede0d12dcc5430ff15f70b5656cbd3d5d251abfc2dcd22783293
• 57e75c98b22d1453da5b2642c8daf6c363c60552e77a52ad154c200187d20b9a
• 5809c889e7507d357e64ea15c7d7b22005dbf246aefdd3329d4a5c58d482e7e1
• 5c762ff1f604e92ecd9fd1dc5d1cb24b3af4b4e0d25de462c78f7ac0f897fc2d
• 9dca5241822a0e954484d6c303475f94978b6ef0a016cbae1fba29d0aed86288
• cbaf513e7fd4322b14adcc34b34d793d79076ad310925981548e8d3cff886527