ClickFix: Как злоумышленники заставляют вас заражать собственный компьютер
1 минута чтение
Что такое ClickFix?
ClickFix — это хитрый прием социального инжиниринга, который хакеры активно используют с начала 2024 года для распространения вредоносного ПО. Эта схема обманывает пользователей, заставляя их выполнять вредоносные команды на своих собственных компьютерах. В результате, количество атак с использованием ClickFix стремительно растёт.
Как работает ClickFix?
Злоумышленники заставляют вас установить вредоносное ПО, заставляя нажимать комбинации клавиш под предлогом проверки на ботов. Боты — это автоматизированные программы, которые выполняют повторяющиеся задачи в интернете и имитируют поведение человека. Учитывая недостаток знаний пользователей о таких системах, хакеры умело используют это, чтобы незаметно установить на устройства вредоносные программы.
Схема атаки
Согласно информации, предоставленной специалистами по безопасности, последняя кампания ClickFix обманывает пользователей, заставляя их устанавливать программы для кражи паролей под видом обычной проверки «Вы человек?». Первоначально эта схема применялась в целевых атаках, но сейчас она стала массовой, затрагивая такие отрасли, как гостиничный бизнес и здравоохранение.
Атака начинается с посещения зараженного или вредоносного сайта, где вы видите поддельный запрос в стиле CAPTCHA. Нажатие на кнопку «Я не робот» активирует серию инструкций, которые призывают вас нажать определённые сочетания клавиш. В первую очередь, вам предлагают нажать Windows + R, чтобы открыть диалоговое окно «Выполнить». Затем вас просят нажать CTRL + V, что вставляет вредоносный скрипт из виртуального буфера обмена сайта. Если вы нажмете Enter, скрипт выполнится и загрузит вредоносное ПО.
Методы распространения ClickFix
Злоумышленники используют фишинговые электронные письма и вредоносные сайты для распространения ClickFix. Гостиничный бизнес стал одной из основных целей, где хакеры подделывают электронные письма от Booking.com, ссылаясь на отзывы гостей или акции. Переход по ссылкам в таких письмах направляет вас в ловушку ClickFix. Работники здравоохранения также стали жертвами, когда вредоносный код был встроен в широко используемый сайт физической терапии HEP2go.
Как только ClickFix попадает на ваш компьютер, он устанавливает различные виды вредоносного ПО, включая программы для кражи паролей, такие как XWorm, Lumma Stealer и DanaBot, которые извлекают ваши учетные данные и финансовую информацию. Некоторые версии устанавливают удалённые трояны, такие как VenomRAT и AsyncRAT, предоставляя злоумышленникам полный контроль над вашей системой. Другие версии используют NetSupport RAT, инструмент удалённого доступа, который часто неправомерно используется для кибершпионажа.
Предостережения и советы по безопасности
Специалисты по безопасности полагают, что ClickFix нацеливается на пользователей с марта 2024 года. Я уже сообщал о вредоносном ПО в июне 2024 года, когда оно выдавало себя за ошибки Google Chrome, Word и OneDrive, чтобы обмануть пользователей и заставить их скачать вредоносный код. Как и в текущей кампании, злоумышленники предлагали жертвам нажать кнопку, которая копировала «исправление» PowerShell в буфер обмена, а затем вставить и выполнить его в диалоговом окне «Выполнить» или в PowerShell.
К ноябрю 2024 года злоумышленники расширили свои цели на пользователей Google Meet. Мошенничество начиналось с электронного письма, содержащего ссылку на сессию Google Meet, часто замаскированное под сообщение от организации жертвы. Эта ссылка вела на поддельную страницу Google Meet, где отображалось предупреждение о проблемах с компьютером, такими как проблемы с микрофоном, камерой или гарнитурой.
Как защитить себя от ClickFix
Чтобы защитить себя от нарастающей угрозы ClickFix, которая продолжает нацеливаться на пользователей с помощью сложных методов социального инжиниринга, следуйте этим шести важным мерам безопасности.
1. Будьте скептичны к запросам CAPTCHA: Законные тесты CAPTCHA никогда не требуют от вас нажимать Windows + R, копировать команды или вставлять что-либо в PowerShell. Если сайт предлагает это сделать, скорее всего, это мошенничество. Закройте страницу немедленно и избегайте взаимодействия с ней.
2. Не кликайте по ссылкам из непроверенных электронных писем и используйте надежное антивирусное ПО: Многие атаки ClickFix начинаются с фишинговых писем, подделывающих доверенные сервисы, такие как Booking.com или Google Meet. Всегда проверяйте отправителя перед тем, как щелкать по ссылкам. Если письмо кажется срочным или неожиданным, переходите напрямую на официальный сайт компании, а не кликайте по ссылкам в письме.
3. Включите двухфакторную аутентификацию: Когда это возможно, включайте двухфакторную аутентификацию. Это добавляет дополнительный уровень безопасности, требуя вторую форму проверки, например, код, отправленный на ваш телефон, помимо пароля.
4. Держите устройства обновленными: Регулярно обновляйте свою операционную систему, браузер и антивирусное ПО, чтобы гарантировать наличие последних исправлений для известных уязвимостей. Киберпреступники эксплуатируют устаревшие системы, поэтому включение автоматических обновлений — простой, но эффективный способ оставаться защищённым.
5. Следите за своими аккаунтами на предмет подозрительной активности и меняйте пароли: Если вы взаимодействовали с подозрительным сайтом, фишинговым письмом или поддельной страницей входа, проверьте свои онлайн-аккаунты на наличие необычной активности. Обратите внимание на неожиданные попытки входа, несанкционированные сбросы паролей или финансовые операции, которые вы не узнали. Если что-то кажется подозрительным, немедленно измените пароли и сообщите о действиях соответствующему поставщику услуг.
6. Инвестируйте в службу удаления личных данных: Рассмотрите возможность использования службы, которая отслеживает вашу личную информацию и предупреждает о возможных утечках или несанкционированном использовании ваших данных. Эти службы могут предоставлять ранние предупреждения о краже личных данных или других злонамеренных действиях, возникающих в результате ClickFix или подобных атак.
Заключение
ClickFix напоминает о том, что вредоносное ПО не всегда зависит от сложных эксплойтов. Часто оно просто требует от вас следовать неправильным инструкциям. Злоумышленники совершенствуют свои методы, делая мошенничества, такие как поддельные CAPTCHA, фишинговые электронные письма и обманчивые всплывающие окна, более убедительными, чем когда-либо. Лучший способ оставаться на шаг впереди — сомневаться в чем-то, что кажется даже немного подозрительным. Если сайт просит вас выполнить команды или вставить что-то в PowerShell, это тревожный знак. Если электронное письмо подталкивает вас к клику по ссылке, сначала проверьте его.
