Специалисты по кибербезопасности отмечают значительный рост активности злоумышленников, использующих метод социальной инженерии под названием ClickFix. Этот метод нацелен на то, чтобы обманом заставить потенциальных жертв запустить вредоносный скрипт, ведущий к заражению компьютера. По данным исследователей, с сентября 2025 года ежедневно фиксируется не менее 200 случаев обнаружения скомпрометированных легитимных сайтов, перенаправляющих пользователей на фишинговые страницы ClickFix. За последние три месяца было зарегистрировано свыше 10 000 подобных инцидентов.
Описание
ClickFix представляет собой изощренную схему обмана, основанную на манипуляции пользователем. Атака начинается с того, что жертва попадает на поддельную веб-страницу через взломанный, но внешне легитимный сайт. Затем, используя технику под названием pastejacking (подмена содержимого буфера обмена), страница незаметно подменяет содержимое буфера обмена пользователя на вредоносный скрипт. Финальный шаг - социальная инженерия: на экране отображаются инструкции, которые убедительно просят пользователя вставить якобы безопасную команду из буфера обмена в окно терминала или «Выполнить» (Run), например, в Windows PowerShell с правами администратора.
В последнее время злоумышленники активно экспериментируют с приманками. Одной из наиболее популярных стала имитация сообщения об ошибке браузера Google Chrome «Aw Snap!». Пользователь видит знакомый интерфейс с сообщением о сбое, после чего ему предлагается скопировать и выполнить «исправляющую» команду в терминале. Не менее распространена маскировка под процесс обновления браузера. В этом случае пользователь проходит через несколько экранов, имитирующих стандартный процесс установки обновлений, прежде чем увидит инструкции по «исправлению» с помощью ClickFix.
Механизм "pastejacking" является ключевым в этой атаке. Когда пользователь нажимает на кнопку «Копировать» или использует стандартное сочетание клавиш Ctrl+C на странице злоумышленника, в его буфер обмена попадает не ожидаемый текст, а скрытый, многострочный вредоносный скрипт. Визуально же пользователь может видеть только первую, безобидную строку. Таким образом, вставив команду в терминал, он фактически запускает скрытый зловредный полезный груз.
Через эти фишинговые страницы доставляется широкий спектр вредоносного программного обеспечения. Часто это дропперы или загрузчики, чья основная задача - незаметно скачать и установить на компьютер более опасные угрозы, такие как программы-вымогатели, шпионские модули или троянцы для кражи данных. Другой распространенный вариант - установка вредоносных расширений для браузеров, которые могут перенаправлять трафик, красть учетные данные из форм или показывать навязчивую рекламу.
Статистика показывает устойчивую динамику роста подобных атак. Ежедневные сотни обнаружений говорят о том, что метод ClickFix стал популярным инструментом в арсенале киберпреступников. Специалисты связывают это с относительно низкой сложностью организации такой атаки и ее высокой эффективностью против невнимательных пользователей. Атака не эксплуатирует программные уязвимости, а целиком полагается на человеческий фактор, что делает ее особенно опасной.
Эксперты настоятельно рекомендуют пользователям проявлять максимальную бдительность. Во-первых, стоит игнорировать любые инструкции на веб-страницах, требующие выполнения команд в терминале или PowerShell для «исправления ошибок» или «ускорения загрузки». Обновления браузеров и операционных систем необходимо запускать только через встроенные, проверенные механизмы - настройки самого приложения или системы. Во-вторых, перед вставкой скопированного текста в терминал можно использовать простые текстовые редакторы, например Блокнот, чтобы проверить реальное содержимое буфера обмена.
В заключение, текущий всплеск атак с использованием ClickFix наглядно демонстрирует, что социальная инженерия остается одним из самых эффективных векторов кибератак. Злоумышленники постоянно совершенствуют свои приманки, делая их все более правдоподобными. В условиях, когда техническая защита не всегда может перехватить такой обман, основным барьером на пути злоумышленников становится осведомленность и критическое мышление самого пользователя.
Индикаторы компрометации
URLs
- http://194.87.55.59/rex.odd
- http://45.59.114.133/test.exe
- http://52.14.189.234/424.php
- http://77.0x6E.107.232/only/floid.gz
- http://89.23.107.240:7777/confirmm2.com/Capcha
- http://93.152.230.54/
- http://94.74.164.136/fifx.odd
- http://acsolucionessa.com/1
- http://updatesbrows.app/appp.bat
- https://ab7r3c.top/921tgE/ps1.php
- https://channelengine-market1.app/
- https://cutt.ly/keIDO0T5
- https://elonpx.com/build.exe
- https://files.catbox.moe/uaa9w6.txt
- https://gvh.b-3-aconz.ru/
- https://hafen.auricfluss.ru/9ctsqhi9
- https://hafen.auricfluss.ru/teeyde9u
- https://krone.frostweald.ru/g490ngrc
- https://movarana.com/HuagW13_1.txt
- https://softwaretech.pro/r9
- https://update.coinmarketsap.com/
- https://wald.rowanstead.ru/gu5ngeu0
SHA256
- 05bfa05140fffee6027d23a926c37d0e8cf88079bb51b01eb190f5aaaec9b946
- 39eba783cb48bd00415b75f5b9d0678c4508d2ba0970c394913df3d38c652cf2
- 4574c18b6c8aad7d36939a7a19cc8103d2adb093a1f70f2ae54cd97c44b9b22c
- 4853a6eed666bd3ed28653de68576948d72e54df00adf3d49de63400bf728baa
