Новый метод заражения ClickFix обходит защиту Windows и macOS
Злоумышленники используют метод атаки под названием ClickFix, при котором пользователей по электронной почте, WhatsApp или Google перенаправляют на вредоносные сайты, где им предлагается выполнить простую команду в терминале. Ввод этой команды запускает загрузку вредоносного кода, который может обходить систему безопасности, маскируясь под легитимные утилиты и не оставляя следов на диске.
По данным Ars Technica, за последние 12 месяцев злоумышленники активно развивают новый метод заражения компьютеров, который пока не получил широкого освещения. Атака, получившая название ClickFix, характеризуется высокой эффективностью и способностью обходить большинство систем защиты как на Windows, так и на macOS.
Начало атаки
Злоумышленники отправляют пользователю электронное письмо от имени отеля, в котором тот ранее бронировал номер. В других случаях атака начинается через WhatsApp, или пользователь получает ссылку в верхних позициях поисковой выдачи Google. Независимо от источника, посещение вредоносного сайта приводит к тому, что пользователю предлагается пройти CAPTCHA-тест или выполнить другое действие, требующее подтверждения. На этом этапе жертва получает инструкцию скопировать одну строку текста, вставить её в терминал и нажать Enter.
Механизм заражения
Ввод одной строки запускает процесс загрузки вредоносного кода с сервера, контролируемого злоумышленниками. После этого ПК или Mac заражается автоматически, без каких-либо предупреждений. Чаще всего заражение сопровождается установкой воров учётных данных, что делает ClickFix особенно опасным для пользователей, не знакомых с техникой.
Исследования показывают, что атаки распространяются через Malware, которая может включать в себя Shamos, PureRAT, а также программу для вовлечения машины в ботнет. В некоторых случаях злоумышленники изменяют настройки macOS, чтобы вредоносный код запускался при каждой перезагрузке.
Способы маскировки
Особенность ClickFix заключается в том, что вредоносный код может использовать LOLbins — легитимные системные утилиты, которые злоумышленники приспосабливают под свои цели. Поскольку вредоносные файлы не сохраняются на диске, большинство систем защиты не могут их обнаружить. Кроме того, команды часто кодируются в base-64, что делает их непонятными для обычного пользователя.
Важную роль играет и изолированная среда браузера, в которой пользователь может скопировать вредоносную команду, не осознавая её угрозы. Многие средства безопасности не способны отслеживать такие действия, что снижает их эффективность.
Реакция рынка
Компания Microsoft отметила, что ClickFix может быть обнаружен Microsoft Defender, но в некоторых случаях атаки остаются незамеченными. Это делает информированность пользователей ключевым фактором защиты. Особенно актуально это в период, когда многие люди общаются с родственниками и делятся советами по безопасности.
Интересно: Каким образом можно защитить пользователей от ClickFix, если стандартные средства безопасности не справляются, а осведомлённость остаётся низкой?
Новые угрозы в цифровом пространстве
Когда доверие становится уязвимостью
ClickFix — это не ещё один вектор атаки, а пример эволюции методов, которые злоумышленники применяют для манипуляции доверием пользователей. Основная сила атаки — в её способности использовать повседневные сценарии, такие как письма от отелей, ссылки из поисковой выдачи Google или мессенджеры вроде WhatsApp. Эти каналы воспринимаются как безопасные, что делает их идеальной средой для распространения вредоносного кода.
Злоумышленники не требуют загрузки файлов или установки программ — они предлагают выполнить простое действие: скопировать и вставить одну строку в терминал. Это действие кажется безопасным, особенно если оно приходит от «известного» источника, но именно оно запускает цепочку событий, приводящих к заражению системы. Такой подход делает атаки особенно эффективными, так как пользователь не осознаёт, что становится частью сценария, разработанного злоумышленниками.
Важный нюанс: Настоящая угроза — не в коде, а в человеческом факторе. Злоумышленники знают, что даже самые современные антивирусы не могут полностью защитить от ошибок, совершаемых людьми. Их цель — не сломать систему, а воспользоваться её пользователем.
Как работает ClickFix: техника и маскировка
ClickFix использует так называемые LOLbins — легитимные системные утилиты, которые злоумышленники используют для запуска вредоносного кода. Такой подход позволяет обойти большинство систем защиты, так как вредоносный файл не сохраняется на диске, а выполняется в памяти. Это делает обнаружение сложным, особенно если атака происходит через изолированную среду браузера.
Кроме того, команды часто кодируются в base-64, что делает их нечитаемыми для обычного пользователя. Такой подход создаёт иллюзию безопасного действия — пользователь видит лишь строку, которую нужно скопировать, но не понимает, что она может содержать скрытую угрозу.
Важно отметить, что ClickFix также используется для обхода встроенных защитных механизмов macOS, таких как Gatekeeper и XProtect, чтобы вредоносная программа AMOS могла запускаться без предупреждений. Это позволяет злоумышленникам скрыть вредоносное ПО от системы безопасности и повысить эффективность распространения [!].
Важный нюанс: ClickFix — это пример того, как технологии, созданные для удобства, становятся инструментом атаки. LOLbins и изолированные среды браузера — это не уязвимости в чистом виде, а функции, которые злоумышленники используют против самих пользователей.
Рост автоматизации и ИИ в кибератаках
Современные атаки всё чаще используют автоматизированные инструменты и ИИ для повышения скорости и масштаба действий. Это позволяет злоумышленникам не только быстрее проникать в системы, но и адаптироваться к новым условиям, минимизируя вероятность обнаружения. Например, большинство кибератак остаются ориентированными на Windows-платформы, где трояны составляют наиболее распространённый тип вредоносного ПО.
Злоумышленники активно используют привычные методы доставки, такие как установочные пакеты, скрипты JavaScript и Visual Basic, которые маскируются под легитимные процессы. На Windows-системах тактика «Выполнение» составляет 32% всех вредоносных действий, что отражает смещение фокуса атак в сторону скорости и автоматизации. Платформа остаётся основной целью из-за её доминирования в корпоративных и пользовательских средах, а также широкого спектра инструментов для маскировки вредоносной активности [!].
Что дальше: защита и реагирование
Microsoft отметила, что её антивирус Microsoft Defender способен обнаружить ClickFix, но не всегда. Это означает, что даже крупные технологические компании сталкиваются с трудностями в борьбе с новыми методами атак. В таких условиях главная линия обороны — информированность пользователей.
Важно, чтобы пользователи понимали, что не все действия в интернете безопасны, особенно если они требуют ввода команд в терминал. Также стоит обратить внимание на источники ссылок — особенно если они приходят через WhatsApp или Google. Проверка домена перед посещением сайта может снизить риски.
Для бизнеса, особенно в России, где доля пользователей, не знакомых с техническими деталями, остаётся высокой, важно внедрять внутренние процедуры проверки входящих сообщений и обучения сотрудников. Это включает в себя регулярные тренинги по кибербезопасности и использование дополнительных слоёв защиты, таких как двухфакторная аутентификация.
Источник: Ars Technica
