Вирусная эволюция ClickFix: как фейковая капча стала доминирующей киберугрозой

Эпидемия нового типа

В начале 2024 года система ClearFake компрометировала WordPress-сайты с высоким SEO-рейтингом, подсовывая жертвам всплывающие окна "требующие" обновить браузер. Пользователи загружали стеллер Lumma, уверенные, что иначе не смогут продолжить серфинг. Техника включала продвинутые методы вроде EtherHiding - сокрытия вредоносных скриптов в блокчейне Ethereum.

Однако к концу года ClearFake оказался вытеснен более эффективным "вариантом". ClickFix отказался от загрузки файлов, используя фальшивые страницы капчи. Жертвам предлагалось нажать "Verify", после чего в буфер обмена незаметно копировалась PowerShell-команда. Инструкции "помогали" вставить ее через сочетания клавиш, приводя к мгновенной установке стиллера.

Ирония в том, что изначально метод разрабатывался как учебный инструмент. В сентябре 2024 года исследователь John Hammond опубликовал его для тренировки специалистов по кибербезопасности. Но злоумышленники адаптировали концепцию, превратив в оружие. К ноябрю ProofPoint зафиксировал волну атак, дав ей имя ClickFix.

Три стадии эволюции

Распространение: от спама до доверенных платформ
Первоначально атака распространялась через сомнительные рекламные сети, перенаправляя пользователей пиратских стриминговых сервисов на фейковые капчи. Но вскоре тактика усложнилась. Злоумышленники стали внедрять вредоносные скрипты на легитимные WordPress-сайты, активируя капчу при конкретных действиях - открытии статьи или скачивании файла.

К июню 2025 года арсенал пополнился социальными сетями и GitHub. Фейковые аккаунты рассылали "рабочие ссылки для скачивания" на форумах, а в репозиториях размещали polished README-файлы с замаскированными ловушками. Особо изощренный метод - SEO-сайты со скопированными новостными статьями, намеренно размытыми. Чтобы прочесть текст, пользователь должен был "пройти верификацию".

Социальная инженерия: кастомизация доверия

Дизайн капч быстро эволюционировал от клонов reCAPTCHA до имитации систем Cloudflare. Сообщения превратились из нейтральных ("Подтвердите, что вы человек") в психологически давящие: "Ваш IP вызывает подозрения" или "Обнаружена необычная активность".

Брендинг достиг нового уровня: капчи динамически подстраивались под логотип сайта, на котором показывались. В целевых фишинговых кампаниях (например, под Booking.com) ссылки вели не на классические страницы ввода паролей, а на фирменные капчи. Это повышало доверие: вместо кражи одного аккаунта злоумышленники устанавливали стиллеры, выкачивающие все данные жертвы.

Уклонение: техническая изощренность

Для обхода сигнатурных систем применялась обфускация команд: PoWerSheLL вместо PowerShell, вставка невидимых символов, кодирование Base64. Полезная нагрузка перестала внедряться в DOM-страницы - вместо этого скрипты динамически подгружались с контролируемых серверов.

С лета 2025 года атака стала кроссплатформенной. Для macOS использовались bash-скрипты вида:

Но главный прорыв - злоупотребление доверенными сервисами. Хостинг капч на поддоменах google.com позволял обходить фильтры: системы безопасности редко блокируют весь Google. Obfuscated-код на Google Scripts выглядел безобидно при поверхностном сканировании.

Картирование угрозы через кластеризацию

С ростом популярности ClickFix сформировалась экосистема злоумышленников, каждый из которых адаптировал метод под свои нужды. Для анализа исследователи Guardio сфокусировались на PowerShell-командах, копируемых в буфер обмена - они содержат уникальные "отпечатки" инфраструктуры и тактик.

Были выделены ключевые характеристики:

• Структура домена (длина, энтропия, TLD)
• Методы обфускации
• Паттерны использования символов
• Кросс-платформенные особенности

Применив алгоритм DBSCAN для кластеризации тысяч образцов, эксперты выявили устойчивые группы. Например, Cluster 16 использовал неизменный шаблон без обфускации:

с доменами в .run/.press и UUID-идентификаторами. Другие кластеры демонстрировали тяжелую обфускацию или кроссплатформенные подходы.

Заключение: новая парадигма угроз

ClickFix представляет собой качественный скачок в эволюции кибератак. Устранив необходимость загрузки файлов и вписавшись в привычные пользовательские сценарии, фейковая капча превзошла предшественников по "заразности". Ее успех основан на симбиозе трех элементов: проникновение через доверенные каналы, психологически убедительные нарративы и постоянно совершенствующиеся техники уклонения.

Борьба с такими угрозами требует не только сигнатурных методов, но и глубокого анализа поведения, проактивного мониторинга инфраструктуры и понимания экосистемы злоумышленников. Как показало исследование, за кажущимся хаосом скрываются структурированные кластеры активности, каждый из которых требует уникальных контрмер. Эволюция ClickFix продолжается - следующий "штамм" может оказаться еще изощреннее.

IPv4

• 138.199.156.22
• 138.199.161.141
• 14.217.228.14
• 147.45.45.177
• 159.223.139.207
• 162.55.47.21
• 180.178.189.7
• 181.174.164.117
• 193.36.38.237
• 195.201.221.109
• 212.11.64.215
• 45.135.232.33
• 67.217.228.14
• 88.119.175.52
• 89.147.111.128
• 91.206.178.120

Domains

• 1.honis.fun
• 4car.org
• 4x4x.ink
• 866059.eliteeyeview.co
• a.cryptoarabmoon.com
• aasiwins.com
• accesso-ai-media.fly.storage.tigris.dev
• adesa.com
• adpages.com
• aidetector.tools
• airscompany.com
• aljawab24.com
• allnatural.mx
• alperlersocks.com
• als-news.com
• anchorsaway.org
• aninakuhinja.si
• apioeses.icu
• appmacintosh.com
• appmacosx.com
• apposx.com
• appvpn.cfd
• appxmacos.com
• asia.seduniatravel.com
• assets-msn.org
• attlaw.com
• auburndirect.com
• autura.com
• bad-guest-reviewsid77182.com
• badreviewes.com
• beeno.online
• bernhabd.live
• betamode.app
• bflometrocu.org
• billiboard.com
• binnance-us.com
• bitly.cx
• bkngrvff.com
• blacksportsonline.com
• bodyssey1.to
• brightchamps.com
• bu.unrimedironize.shop
• buckloadphase.fly.storage.tigris.dev
• butlermortgage.ca
• buzzedcompany.com
• bytevista.cloud
• canadamotoguide.com
• canadas100best.com
• candlyphoto.com
• candlyplagium.com
• candyconverterpdf.com
• candy-pdf-convertor.world
• cannabispharmacy.com
• cartelroasting.co
• caymanexplorer.com
• cdn-mehj-assets.s3.pl-waw.scw.cloud
• challengingdisorganization.org
• check-cllck.com
• cinepremiere.com.mx
• clients.contology.com
• cloudflares.mooo.com
• cmav91bvs00008la9jcr6rbl.info
• cmb8k1nbj000008l1api07o0n.info
• code.activestate.com
• coldspringdepot.com
• combuktlom.fly.storage.tigris.dev
• companybonuses.org
• companystarlink.com
• conciergemdla.com
• confirm-idd787.click
• copepsychology.com
• copycode.io
• cpshr.us
• crescentdental.ca
• cryptoarabmoon.com
• cubuj.press
• cuenten.com
• curlynikki.com
• cv.cbrw.ru
• cv.jyla.ru
• cwbchicago.com
• daltum.mx
• dashes.cc
• datastream-dist.s3.pl-waw.scw.cloud
• dcu.digital
• deathtotheworld.com
• dentalchoice.ca
• developer.1password.com
• dialogteams.com
• digitalassetkit.net
• diyflyfishing.com
• dngmicrosoftds.com
• dng-microsoftds.com
• doccsign.it.com
• dragonoli.com
• dragunoli.com
• drbeast.fly.storage.tigris.dev
• dreamlandpublications.com
• dronetechplanet.com
• drugrehab.com
• dybep.fun
• e.overallwobbly.ru
• e56b8aaa.s3.pl-waw.scw.cloud
• ednascorner.com
• envirochem.in
• es.tradingkings.io
• especialidadesguardiacivil.es
• euccompany.com
• europeanleathergallery.com
• events-datamicrosoft.org
• eventsdata-microsoft-live.com
• fepez.run
• fessoclick.com
• files.catbox.moe
• floridaliensearch.com
• fundertrading.com
• gabsfestival.com
• gbhjj.online
• gettsveriff.com
• gfddx.run
• glsrvc.cloud
• gmkkeycap.com
• gogocharters.com
• gozog.run
• gramophone.ca
• greenhills.com
• growingplay.com
• hastilybakeshop.ru
• healthcanal.net
• hearingsolutions.ca
• heartcu.org
• hereadstruth.com
• heritagefh.ca
• hipercompany.com
• hippobakery.com
• holidaysat.es
• homeeick.com
• howchoo.com
• howtocookportuguesestuff.com
• hvpb1.wristsymphony.site
• hvpb2.wristsymphony.site
• hy.disterrcleanly.shop
• hypertrophyhphied.homes
• ia-robotics.com
• iat.ac.ke
• iclicker.com
• imx.to
• invisibleppc.com
• invisionproperty.com.au
• jacksonville.redcareers.com
• jimersonfirm.com
• jupiters.cc
• kapilarya.com
• kazarselectric.com
• khaanabkt.fly.storage.tigris.dev
• kingrouder.tech
• klasse.com.es
• krause.la.top
• lacalle.com.ar
• lajaunies.com
• leaflifecannabis.ca
• leocompany.org
• libertywastesolutions.com
• livecamrips.su
• llamitasspanish.com
• login-live-microsoft.org
• loyalcompany.net
• lubowitl.live
• lurup.press
• macosxappstore.com
• macxapp.com
• madeiralovers.com
• majesticvalleyarena.com
• manhoodjourney.org
• manhwatoon.me
• market.aestheticrecord.com
• mastersoftheflames.com
• mastro.top
• mccallservice.com
• media-aandeel.fly.storage.tigris.dev
• mediafoxo.fly.storage.tigris.dev
• media-serviti.fly.storage.tigris.dev
• mediolanumhotel.com
• medi-sharee.fly.storage.tigris.dev
• mehig.run
• meilleur-partage-media.fly.storage.tigris.dev
• members.porterandcompanyresearch.com
• menswellnesscenters.com
• mentalhealth.banyantreatmentcenter.com
• mentalquiz.org
• mercersmarine.com
• milkywaycompany.com
• monar.s3.pl-waw.scw.cloud
• motorandwheels.com
• mueuler.live
• mybestfriendvet.com
• myqr-generator-online.com
• myrtlebeachgolf.com
• myrtlebeachgolfpackages.co
• myvocabulary.com
• nates.press
• nationalmediaspots.com
• nauticus.org
• nejeets.com
• nephrologysyracuse.com
• neuething.org
• newsly.cc
• nomeatathlete.com
• nopaste.net
• norfolkbotanicalgarden.org
• notionetwork.org
• odyssey1.to
• olivedell.com
• onlinemedicalcardpennsylvania.com
• organicflowers.site
• org-cdn-cache.s3.pl-waw.scw.cloud
• outpagefitroot.shop
• pacforum.org
• palaceskateboards.com
• parkland.dental
• partage-de-medias.fly.storage.tigris.dev
• paste.gg
• pcappbox.com
• pcdeputysheriffs.com
• peachtreewellnessmh.com
• peasplecore.net
• pepjm.press
• perfectgolfevent.com
• pexab.run
• physiciansallianceofconnecticut.com
• pilotflighttraining.com
• pitajungle.com
• pitchforkeconomics.com
• plantsforallseasons.com
• platform.activestate.com
• pornhubs.store
• pornohub.shop
• pornohub.vip
• printablesworksheets.net
• privatelondonrheumatologist.com
• prodlisle.com
• progressiveptgreenvalley.com
• prosoundgear.com
• ps.ee.io
• psee.io
• putneydentalcare.com.au
• qrgen-ai.com
• qwlpert.com
• readability.fly.storage.tigris.dev
• realidwa.com
• recaptchas.top
• recommendation-samoa-weights-guyana.trycloudflare.com
• reddyice.com
• redosier.com
• renzullihome.com
• response-settingswin-data-microsoft.org
• reviwesguestneed.com
• ridgefieldrecovery.com
• righttrailers.com
• roaminghere.fly.storage.tigris.dev
• rumleytrailers.com
• s1.flammablegrunt.site
• scottmsullivan.com
• seeoldnyc.com
• serfcompany.com
• servicerb.cloud
• settings-win-data-microsoft.live
• sextb.net
• shereadstruth.com
• shopvonhansons.com
• shorrock.co.za
• skiffyandfanty.com
• sm.sacab.fun
• softbasepc.com
• software.stytex.cloud
• solidewi.com
• sorts-pushed-completely-manuals.trycloudflare.com
• southerntrailerdepot.com
• sparezonekenya.co.ke
• starcarstn.com
• steadfastloyalty.com
• storageunits.com
• s-t-o-r-e-s.com
• strategicmarketingpartner.com
• stuartsemple.com
• stylebyemilyhenderson.com
• superior-trailer.com
• t1.figurefaceted.ru
• t5.figurefaceted.ru
• taken.top
• tampa-recovery.com
• tchmitt.live
• teamsmsg-ns.com
• techexpert.tips
• technitrad.com
• telemaneu.store
• temp-mail.ink
• teratechcompany.com
• texasspineclinic.com
• thecomicsconnection.com
• thefocuscompany.org
• theprairiefireflies.com
• thip.media
• thorntontownship.com
• topcasestudy.com
• torontosom.ca
• totihyo.live
• travelopedia.sbs
• trees.com
• tulsaprocedure.com
• univiewtechnology.com
• urbanministries.com
• usa-trailer.com
• usersmanualplatforms19.site
• usersmanualplatforms20.site
• usersmanualplatforms21.site
• velocityrecoveries.com
• vfr-actevate.com
• victra.com
• vivavibe.net
• vynen.icu
• wayneradiology.com
• westportjournal.com
• wgetfiles.com
• wheatonchristian.org
• wildwestguns.com
• winbuzzer.com
• windows-ds-time.live
• windowsmsn-cn.live
• windowsmsncn.org
• wkvi.com
• wunep.icu
• wv-modifications-gras-tension.trycloudflare.com
• www-insttacart.com
• xgg.lol
• xkpdf.run
• yellowbrick.co
• ymcahouston.org
• z98123.top
• zq8v2kxd07fjc31r.s3.pl-waw.scw.cloud