⚠️ ClickFix — набирающая популярность техника атак на пользователя, когда он сам запускает команды для хакера. Обучите сотрудников механике атаки!
👨💻 Хакеры придумали способ обойти антивирусы: убеждают самого пользователя вручную запускать команды, якобы для прохождения проверки, а реально, чтобы скачать вредоносный код.
⚠️ В мае-июне около 30 российских компаний подверглось этой атаке.
📌 Как работает ClickFix:
🔹Жертва заходит на фейковый сайт или получает фейковый документ PDF с запросом «подтвердить, что вы не робот»
🔹Ей предлагают «проверку» — нажать Win + R, затем Ctrl + V и Enter.
🔹В буфере обмена будет команда PowerShell, которая и скачивает троян/майнер/RAT. Пользователь этого не понимает.
🔹В браузере при этом открывается настоящий сайт, чтобы отвлечь внимание.
🧠 Варианты оповещений хакера:
😶 «Ошибка PDF» или «Обновите Flash»
😶 «Проблема с доступом к микрофону»
😶 «Проверка безопасности Cloudflare»
📉 Почему это опасно:
😶 Код запускает сам пользователь → защита не срабатывает
😶 Используется в атаках APT-групп (Kimsuky, APT28, Interlock и др.)
😶 Работает даже на обновлённой Windows
🛡 Что делать:
✔ Никогда не вставляйте команды из браузера в Win + R, PowerShell или CMD
✔ Обучите сотрудников — объясните механику атаки
✔ Запретите запуск PowerShell и mshta на рабочих ПК
✔ Используйте EDR с контролем буфера обмена
📌ClickFix — это не «вирус», это социальная инженерия нового поколения. Не код, а человек стал точкой входа.
🧷 Берегите себя. И не запускайте команды, которых не понимаете.
#мошенники #EDR #XDR
