2024 augusztusa óta mind a kiberbűnözők, mind az APT csoportok (államilag támogatott hackerek) alkalmazzák a ClickFix nevű technikát információlopó és egyéb rosszindulatú kódok telepítésére.
A ClickFix egy social engineering módszer, amelyben rosszindulatú JavaScript-kódot tartalmazó weboldalak olyan műveletek végrehajtására késztetik a felhasználót, amelynek eredményeként egy káros kód kerül a rendszerükbe.
A felhasználó általában egy felugró ablakkal találkozik, amely arra utasítja, hogy frissítsen, javítson ki egy hibát, vagy igazolja, hogy nem robot egy hamis reCAPTCHA oldalon, amely rosszindulatú kódot tartalmaz. A rosszindulatú JavaScript-kód a vágólapra másol egy parancsot, és a felhasználót arra utasítja, hogy nyissa meg a Win+R billentyűkombinációval a Windows Futtatás párbeszédpanelt, a Ctrl+V billentyűkombinációval illessze be a vágólap tartalmát, majd pedig nyomjon Enter-t. Ez a folyamat azt eredményezi, hogy a rosszindulatú parancs végrehajtásra kerül az áldozat gépén. Egy olyan malware payload-ot tölt le, mint a Lumma, a XWorm RAT, a VenomRAT, vagy az AsyncRAT információlopó program. Kivéve az egyik esetet, amikor a payload a DarkGate nevű rosszindulatú program volt.
A Group-IB megfigyelte, hogy a támadók adathalász e-maileket, rosszindulatú hirdetéseket és spam üzeneteket használnak a fórumokon, a közösségi média platformokon és a kommentszekcióban. Ezekkel az eszközökkel próbálják az áldozatokat rosszindulatú weboldalakra, legitim szolgáltatásokat utánzó adathalász oldalakra és a ClickFix-hez kapcsolódó rosszindulatú kódot tartalmazó kompromittált webhelyekre irányítani.
A hamis reCAPTCHA elemek és a vágólapra másoló funkciók keresésével a Group-IB többféle ClickFix oldalt azonosított, amelyek a Google reCAPTCHA-t, közösségi média oldalakat, Cloudflare bot védelmet imitáltak. Mindegyik hasonló elven működik: a felhasználókat kattintásra késztetik a „Nem vagyok robot”, „Javítás” vagy „Javítás másolása” parancsra.
A ClickFix technika egyre szélesebb körben terjed, a támadók pedig a felhasználók megtévesztésére és a rosszindulatú kódok terjesztésére egyre kifinomultabb módszereket alkalmaznak.
