Новый вид фишинга ClickFix: вместо взлома пользователи сами передают злоумышленникам доступ к аккаунтам Facebook*

Исследователи угроз обнаружили новую масштабную фишинговую кампанию, которая использует метод социальной инженерии под названием ClickFix. Вместо эксплуатации технических уязвимостей злоумышленники в ходе многоэтапного процесса заставляют жертв добровольно передать ключи для доступа к своим аккаунтам Facebook*. Основной целью кампании являются сессионные cookies, что позволяет мгновенно захватить учетную запись. По данным анализа, активность кампании фиксировалась с января 2025 года.

Описание

ClickFix представляет собой форму социальной инженерии, при которой жертва становится частью рабочего процесса атаки. Атакующий не эксплуатирует уязвимость, а шаг за шагом направляет цель через серию действий, которые заканчиваются добровольной передачей конфиденциальных данных. В данной кампании "исправление" - это не команда или файл, а управляемый процесс, разработанный для извлечения живых сессионных cookies Facebook* напрямую из браузера жертвы.

Группа Unit42 впервые сообщила об этой кампании 19 декабря 2025 года. Однако анализ инфраструктуры показывает, что связанные фишинговые страницы и конечные точки сбора данных были активны уже с января 2025 года. Атака имитирует процессы верификации и подачи апелляций в Facebook*. В первую очередь она нацелена на кражу токенов сессии, а захват учетных данных и резервных кодов используется как запасной вариант.

В ходе расследования было выявлено 115 веб-страниц, задействованных в цепочке атаки, и восемь конечных точек эксфильтрации данных. Основными целями стали создатели контента, монетизированные страницы и бизнесы, стремящиеся получить статус верификации. Потеря сессии в таких случаях приводит к немедленному захвату аккаунта.

Многоэтапный процесс обмана

Атака представляет собой сложный многоэтапный процесс. Сначала пользователь попадает на фишинговую страницу, которая маскируется под официальную процедуру верификации Facebook* или уведомление о нарушении правил. Страница использует фирменный стиль соцсети для создания видимости легитимности.

На следующем этапе жертве показывается видеоинструкция, в которой подробно объясняется, как извлечь из браузера два ключевых параметра сессии: "c_user" и "xs". Эти данные пользователь должен ввести в специальную форму на фишинговой странице. Для повышения эффективности в форму встроена JavaScript-проверка, которая в реальном времени валидирует введенные значения, чтобы они соответствовали формату настоящих токенов Facebook*. Это снижает шум для злоумышленников и увеличивает вероятность сбора рабочих сессий.

После успешной отправки токенов пользователь перенаправляется на финальную стадию - страницу "Подтверждение безопасности Facebook"*. Здесь под предлогом дополнительной проверки безопасности у жертвы запрашиваются резервные коды доступа, а в случае их "некорректного ввода" - пароль от аккаунта. Таким образом, кампания сначала пытается получить готовую живую сессию для мгновенного доступа, а затем собирает запасные способы авторизации на случай, если сессия окажется нерабочей.

Серверная инфраструктура и методы скрытия

Для сбора данных злоумышленники активно используют сторонние серверные сервисы, такие как submit-form[.]com, Formspark и shiper[.]app. Это позволяет им отделить фишинговые страницы от инфраструктуры сбора данных, что усложняет блокировку всей кампании. Данные эксфильтрируются преимущественно через JSON POST-запросы.

Анализ показал высокую степень репликации контента. Например, точный заголовок "Facebook Security Confirmation" встречается на 14 различных URL. Исследователи также обнаружили 103 уникальных имени хоста, обслуживающих тематические фишинговые страницы с начала 2025 года. Инфраструктура размещается на различных платформах, включая Netlify, Vercel, Wasmer, GitHub Pages, Surge и Neocities.

Злоумышленники применяют различные техники обфускации, чтобы скрыть конечные точки сбора данных. В коде страниц обнаружено использование бинарного кодирования строк и Base64 для маскировки URL. В некоторых сценариях фишинговые страницы проводят проверку окружения жертвы, отправляя запрос на IP-интеллект эндпоинты, чтобы определить использование прокси и геолокацию, и динамически менять поток атаки.

Выводы для специалистов по безопасности

Данная кампания наглядно демонстрирует переход от традиционного фишинга паролей к более изощренным методам социальной инженерии, нацеленным на кражу активных сессий. ClickFix представляет серьезную угрозу, поскольку обходит многие технические средства защиты, полагаясь на человеческий фактор.

Эксперты рекомендуют сосредоточить усилия не на отслеживании быстро меняющихся фишинговых URL, а на блокировке стабильных конечных точек сбора данных, таких как submit-form[.]com и аналогичные сервисы. Ключевыми индикаторами компрометации являются веб-страницы, запрашивающие значения "c_user" и "xs" в контексте "верификации" или "подтверждения безопасности". Мониторинг шаблонов злоупотребления хостингами и анализ повторяющихся заголовков страниц также могут помочь в выявлении подобных атак.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.