Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

ClickFix: атака через социальную инженерию и обход антивирусов

3
3 мин
Киберугроза ClickFix стала одним из наиболее заметных векторов атак в 2024 и 2025 годах. В отличие от классических кампаний, где злоумышленники делают ставку на эксплуатацию уязвимостей software, здесь основным инструментом выступает social engineering. Пользователя убеждают самостоятельно запустить вредоносную команду, фактически передавая атаку в его собственные руки. Схема атаки строится вокруг поддельных веб-сайтов, имитирующих страницы проверки CAPTCHA или просмотра documents. После перехода на такой ресурс жертве предлагается открыть окно Run в Windows и вставить туда команду, которая была сгенерирована сайтом и скопирована в clipboard. Как правило, эта команда запускает вредоносный PowerShell-script непосредственно в memory. Такой подход позволяет обходить традиционные средства защиты, поскольку вредоносный код не записывается на disk в легко обнаруживаемом виде. Злоумышленники используют HTML-страницы, которые при взаимодействии пользователя с поддельными кнопками verification
Оглавление

Киберугроза ClickFix стала одним из наиболее заметных векторов атак в 2024 и 2025 годах. В отличие от классических кампаний, где злоумышленники делают ставку на эксплуатацию уязвимостей software, здесь основным инструментом выступает social engineering. Пользователя убеждают самостоятельно запустить вредоносную команду, фактически передавая атаку в его собственные руки.

Как работает ClickFix

Схема атаки строится вокруг поддельных веб-сайтов, имитирующих страницы проверки CAPTCHA или просмотра documents. После перехода на такой ресурс жертве предлагается открыть окно Run в Windows и вставить туда команду, которая была сгенерирована сайтом и скопирована в clipboard.

Как правило, эта команда запускает вредоносный PowerShell-script непосредственно в memory. Такой подход позволяет обходить традиционные средства защиты, поскольку вредоносный код не записывается на disk в легко обнаруживаемом виде.

Злоумышленники используют HTML-страницы, которые при взаимодействии пользователя с поддельными кнопками verification вызывают JavaScript-функцию записи в clipboard. Это обеспечивает стабильность механизма атаки: шаблоны delivery остаются похожими, хотя инфраструктура — домены и URL полезной нагрузки — часто меняется.

Почему ClickFix сложно обнаружить

Одной из ключевых проблем для защитников остается то, что ClickFix рассчитан на окно времени, в течение которого anti-virus solutions могут не успеть распознать новый sample. Дополнительную сложность создает то, что вредоносная нагрузка может маскироваться и меняться от кампании к кампании.

В одном из наборов данных более 60% выявленных файлов ClickFix на момент анализа не определялись антивирусными engines как malicious. Это показывает, что даже широко применяемые средства защиты могут пропускать подобные образцы, особенно на ранней стадии их распространения.

Роль YARA: как выявляют ClickFix

Недавние analysis показали, что специально разработанное YARA rule может обнаруживать образцы malware, которые нередко пропускают антивирусные решения. Эффективность такого подхода основана на распознавании характерных признаков кампаний ClickFix:

  • строк, связанных с social engineering;
  • поддельных запросов verification;
  • специфических индикаторов команд PowerShell;
  • признаков обхода security policies;
  • манипуляций с clipboard;
  • известных PowerShell flags.

При этом правило должно находить не один, а несколько связанных между собой признаков атаки. Именно совокупность таких маркеров позволяет отличить ClickFix от обычного benign-кода.

Два сценария заражения

В анализе были рассмотрены два типа кейсов ClickFix. В первом случае вредоносный script явно встроен в HTML. Такой вариант сравнительно проще для detection, поскольку команда видна в исходном коде страницы.

Во втором случае payload закодирован в формате Base64. Здесь традиционный static analysis уже не позволяет напрямую выявить вредоносную команду, и требуется использование automated deobfuscation tools, способных расшифровывать закодированные инструкции.

После декодирования аналитические tools могут быстро извлекать C2 URLs и данные о репутации, выявляя известные malicious indicators. Это ускоряет расследование и помогает оперативно связывать отдельные образцы с инфраструктурой атаки.

Почему этот подход важен для защитников

Несмотря на высокую resource efficiency атакующих, их методика доставки во многом предсказуема. Именно эта повторяемость становится слабым местом ClickFix: она позволяет создавать YARA rules, которые помогают защитникам проактивно выявлять и реагировать на угрозы еще до того, как traditional security measures успеют адаптироваться.

Таким образом, automated analysis не только повышает точность идентификации, но и дает возможность быстро извлекать operational intelligence об инфраструктуре C2, поддерживающей кампании ClickFix.

Предсказуемые методы доставки ClickFix становятся его уязвимостью: чем устойчивее шаблон атаки, тем проще создать правило для его обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ClickFix: атака через социальную инженерию и обход антивирусов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются