11,6 тыс подписчиков

Как ClickFix меняет правила атаки

19 июня 202519 июн 2025

2 мин

изображение: recraft Компания ReliaQuest в отчёте Threat Spotlight за март–май 2025 года сообщила о масштабном росте атак, в которых применяется социально-инженерная схема ClickFix. Эта техника обмана стала ключевым фактором, спровоцировавшим 10% прирост числа атак типа Drive-By и резко увеличившим долю злоупотреблений утилитой MSHTA — встроенным компонентом Windows, позволяющим запуск HTML-приложений. ClickFix представляет собой последовательность шагов, при которой жертву убеждают «устранить проблему» в системе. Для этого используются поддельные окна с уведомлениями, которые выглядят как сообщения операционной системы или браузера. Пользователь под давлением выполняет предложенные действия, не осознавая, что запускает вредоносный код. Особенно тревожной стала эволюция фреймворка ClearFake, активно использующего ClickFix. Он применяет ложные CAPTCHA для легитимации процесса и запускает вредоносные команды через MSHTA. В результате этой тактики MSHTA поднялся с 16-го на 2-е место среди

изображение: recraft

Компания ReliaQuest в отчёте Threat Spotlight за март–май 2025 года сообщила о масштабном росте атак, в которых применяется социально-инженерная схема ClickFix. Эта техника обмана стала ключевым фактором, спровоцировавшим 10% прирост числа атак типа Drive-By и резко увеличившим долю злоупотреблений утилитой MSHTA — встроенным компонентом Windows, позволяющим запуск HTML-приложений.

ClickFix представляет собой последовательность шагов, при которой жертву убеждают «устранить проблему» в системе. Для этого используются поддельные окна с уведомлениями, которые выглядят как сообщения операционной системы или браузера. Пользователь под давлением выполняет предложенные действия, не осознавая, что запускает вредоносный код.

Особенно тревожной стала эволюция фреймворка ClearFake, активно использующего ClickFix. Он применяет ложные CAPTCHA для легитимации процесса и запускает вредоносные команды через MSHTA. В результате этой тактики MSHTA поднялся с 16-го на 2-е место среди механизмов обхода защитных решений. Сейчас, по оценке ReliaQuest, почти треть всех обходных техник приходится на этот инструмент.

Схема используется для распространения таких угроз, как Lumma Stealer и SectopRAT — последняя представляет собой троян на платформе .NET, способный устанавливать бэкдоры и обеспечивать устойчивое присутствие в системе. Одним из способов доставки стали вредоносные инсталляторы Google Chrome, распространяемые через поддельные рекламные объявления Google. Злоумышленники маскируют вредоносные сборки под легитимные установки, дополнительно повышая шансы на успешное заражение.

Эксперты подчёркивают, что популярность ClickFix объясняется его «интерактивностью» — пользователь сам запускает код, что усложняет детектирование. Это также открывает возможности для применения таких легальных инструментов, как PowerShell, без загрузки подозрительных исполняемых файлов.

В заключении ReliaQuest предупреждает, что ClickFix может стать основой для новых подходов к начальному доступу. Тактика объединяет элементы социальной инженерии, безфайловой доставки и эксплуатации системных утилит — всё это делает схему устойчивой к традиционным защитным механизмам и особенно эффективной в обходе EDR и антивирусных решений.

Оригинал публикации на сайте CISOCLUB: "ReliaQuest: схема ClickFix увеличила злоупотребление MSHTA и расширила применение похитителей и RAT в кампаниях Drive-By".