ClickFix - это сложная форма социальной инженерии, использующая видимость подлинности для манипулирования пользователями с целью заставить их выполнить вредоносные скрипты. С момента своего первого аннотированного появления в начале 2024г, эта тактика привела к многочисленным кампаниям по распространению вредоносного ПО с использованием взломанных веб-сайтов, инфраструктуры распространения вредоносного ПО и фишинга по электронной почте. Хотя многие из этих кампаний, как сообщается, направлены направлены на широкий охват нескольких секторов, некоторые из них направлены на конкретные сектора.
Обзор атак ClickFix
Злоумышленники инициируют эти кампании путем входа на веб-сайты с украденными учетными данными и установки поддельных плагины в скомпрометированных средах. После установки плагины внедряют вредоносный JavaScript, содержащий известную разновидность поддельного вредоносного ПО для обновления браузера, которое использует блокчейн и смарт-контракты для получения вредоносной полезной нагрузки (практика, известная как EtherHiding). При выполнении в браузере JavaScript представляет пользователям фальшивые уведомления об обновлении браузера, которые направляют их на установку на компьютер вредоносного ПО (обычно трояны удаленного доступа и различные инфопохитители, такие как Vidar Stealer, DarkGate и Lumma Stealer).
Тактика ClickFix обманывает пользователей, заставляя их загрузить и запустить вредоносное ПО на своих компьютерах без задействуя для загрузки веб-браузер или требуя ручного выполнения файла. Она позволяет обойти функции безопасности веб-браузера, такие как Google Safe Browsing, и казаться менее подозрительными для ничего не подозревающих корпоративных и индивидуальных пользователей. При этом типе атаки скомпрометированные веб-сайты показывают фальшивые предупреждения браузера, которые обычно предупреждают пользователя о том, что веб-страница или документ не могут быть корректно отображены пока он не нажмет кнопку «Исправить» и не выполнит описанные шаги. Это приводит к тому, что пользователь неосознанно копирует и выполняет вредоносный код, который устанавливает вредоносное ПО.
Иногда призыв к действию звучит как «устранить проблему», а иногда - как «доказать что вы человек» (на поддельных страницах CAPTCHA). Анализ инфраструктуры распространения вредоносного ПО показывает, что злоумышленники также могли нацелиться на пользователей, ищущих игры, программы для чтения PDF-файлов, веб-браузеры Web3 и приложения для обмена сообщениями, а также пользователей приложения для видеоконференций Zoom.