A kiberbűnözők egyre gyakrabban alkalmazzák a ClickFix néven ismert social-engineering támadási módszert, amelynek során a felhasználókat teljes képernyős böngészőablakban megjelenő, valósághűnek tűnő, ám valójában hamis Windows Update animációval tévesztik meg. A rosszindulatú kódot a támadók képfájlokba ágyazzák, a kártevő pedig a felhasználó közreműködésével (a Windows Parancssorba bemásolt parancsok végrehajtásával) kerül a rendszerbe.
A ClickFix technika folyamatosan fejlődik, egyre kifinomultabbá válik, így rendkívül hatékony és széles körben elterjedt a kiberbűnözők körében. A közelmúltban megfigyelt támadások során a kutatók azt tapasztalták, hogy a kártevők futtatására vonatkozó utasításokat gyakran kritikus Windows biztonsági frissítésre vagy „Nem vagyok robot” (human verification) ellenőrzésre hivatkozva jelenítették meg.
A hamis frissítési oldal arra utasítja az áldozatokat, hogy egy meghatározott sorrendben nyomjanak meg bizonyos billentyűket. Ez a folyamat beilleszti és végrehajtja a támadó parancsait, amelyeket a weboldalon futó JavaScript automatikusan a vágólapra másolt.
Az újabb ClickFix variánsok a LummaC2 és Rhadamanthys információlopó kártevőket juttatják a rendszerbe. Mindkét esetben szteganográfia segítségével ágyazzák a végső payloadot PNG képekbe, ahol a kártevő közvetlenül a pixelekben kerül elrejtésre és titkosításra. A dekódolást PowerShell- és .NET-alapú megoldások, valamint a Stego Loader nevű assembly végzi, amely az AES-sel titkosított PNG állományból visszaállítja a shellcode-ot. A támadók dinamikus kerülőtechnikákat, például ctrampoline-t is alkalmaznak, amelyek több ezer üres függvényhívással jelentősen megnehezítik az elemzést.
A shellcode a Donut eszközzel kerül memóriába betöltésre, amely lehetővé teszi VBScript, JScript, EXE, DLL és .NET assembly futtatását. A vizsgált kampányokban főként LummaC2 és Rhadamanthys kártevőket telepítették ilyen módon.
Az alábbi diagram szemlélteti a támadási folyamatot:
A ClickFix típusú támadások elleni védekezéshez a szakértők az alábbiakat javasolják:
- A Windows Run mező (Futtatás) letiltása.
- A gyanús folyamatláncok monitorozása, például: explorer.exe → mshta.exe vagy PowerShell.
- A RunMRU registry kulcs ellenőrzése incidensvizsgálatok során.