Новая вредоносная схема ClickFix обманывает пользователей через фальшивые обновления Windows

По данным PC World, группа исследователей безопасности из Huntress предупреждает о новой версии ClickFix, которая в настоящее время является одной из наиболее распространённых мошеннических схем. Атака начинается с открытия полноэкранной страницы браузера, которая утверждает, что необходимо срочно установить важное обновление безопасности через Windows Update.

Во время «установки» этого фальшивого обновления в буфер обмена пользователя копируется скрытая вредоносная команда. Затем жертве предлагается нажать определённую комбинацию клавиш: Windows + R, затем Ctrl + V, чтобы вставить команду в окно «Выполнить», и Enter, чтобы запустить её. После этого на систему устанавливаются вредоносные программы LummaC2 и Rhadamanthys, способные к краже конфиденциальной информации.

Хотя точное количество пострадавших пока неизвестно, кампания начала действовать в начале октября. Согласно информации, первоначальная публикация появилась в издании PC för Alla, где была составлена на основе материалов, переведённых и адаптированных из шведского языка.

Интересно: Какие меры защиты могут предотвратить подобные атаки, если пользователь не обладает техническими навыками для распознавания поддельных уведомлений?

i

Создано специально для ASECTOR

Концептуальное изображение

Новый этап в цифровом мошенничестве: когда обновление — это ловушка

Когда доверие становится уязвимостью

Мошеннические схемы давно переросли в структурированные операции, где каждое действие продумано до мелочей. Новая версия ClickFix — это не только обновление вредоносного ПО, а пример эволюции киберпреступности, которая становится всё более ориентированной на психологические уловки, а не на техническое мастерство. В данном случае злоумышленники используют не уязвимости в коде, а доверие пользователя к знакомым интерфейсам и процедурам.

Пользователь видит уведомление, которое выглядит как стандартное окно Windows Update. Он не подозревает, что нажатие на кнопку «Принять» или выполнение нескольких клавишных комбинаций может привести к установке вредоносного ПО. Это особенно эффективно в случае с людьми, которые не обладают технической грамотностью и привыкли следовать инструкциям «как везде» [!].

Система против пользователя

Важно понимать, что вредоносная схема ClickFix не работает напрямую через уязвимости операционной системы. Вместо этого она использует поведенческие паттерны: пользователь сам копирует и запускает вредоносную команду. Это делает защиту сложной, потому что стандартные антивирусные решения могут не сработать — вредоносный код не появляется в виде файла, а запускается через встроенные функции ОС.

Такой подход снижает вероятность обнаружения, поскольку вредоносные действия происходят в рамках «нормального» пользовательского поведения. Это создает иллюзию легитимности, которая особенно опасна для корпоративных сред, где сотрудники могут не осознавать, что их действия нарушают политики безопасности.

Скрытые победители и уроки для бизнеса

Один из скрытых победителей в этой ситуации — это рынок специализированных решений для поведенческой аналитики. Эти системы могут отслеживать не типичные действия, а аномалии в поведении пользователя, такие как неожиданное копирование команд или запуск незнакомых процессов. Внедрение таких инструментов становится не желательным, а необходимым для компаний, где защита данных — критически важна.

Для малого и среднего бизнеса, который не может позволить себе сложные системы мониторинга, остается надежда на обучение сотрудников. Но здесь возникает парадокс: чем чаще пользователь сталкивается с подобными угрозами, тем больше он рискует привыкнуть к «предупреждениям» и начать их игнорировать. Это снижает эффективность обучения, создавая ложное чувство безопасности.

Важный нюанс: Успех ClickFix — это сигнал о том, что традиционные методы обучения пользователей безопасности становятся недостаточными.

Как защитить себя, если ты не специалист

Для пользователей, не имеющих технической подготовки, ключевым становится осознанное отношение к любым действиям в системе. Например, если на экране появляется уведомление о срочном обновлении, стоит сразу проверить, откуда оно пришло. Настоящие обновления Windows не требуют вручную вставлять команды в окно «Выполнить». Это простое правило может спасти от множества атак.

Для компаний же важно внедрять политики, запрещающие запуск неизвестных команд, а также использовать системы, которые могут блокировать такие действия. Это может быть частью более широкой стратегии Zero Trust — подхода, при котором доверие не предполагается, а проверяется на каждом этапе.

Важный нюанс: Защита от ClickFix начинается не с программ, а с изменения поведения — именно это делает её уникальной среди других угроз.

Распространение через легитимные платформы

ClickFix не ограничивается только Windows. Злоумышленники активно используют методы, позволяющие обходить защиту macOS, включая использование легитимных системных утилит и кодирования команд. Это затрудняет обнаружение атаки, поскольку система не выдает предупреждений, как это обычно происходит при запуске подозрительного ПО [!].

Особую опасность представляет распространение через такие платформы, как GitHub. Злоумышленники создают поддельные репозитории, имитирующие популярные приложения, и перенаправляют пользователей на фишинговые сайты. После этого пользователю предлагается выполнить команду в терминале, что запускает вредоносное ПО.

Социальная инженерия как основной инструмент

В первом полугодии спрос на услуги брокеров первоначального доступа вырос на 20%. Более 70% успешных атак основываются на использовании украденных учетных данных, добываемых через фишинг или социальную инженерию. Этот метод позволяет обходить технические меры защиты, манипулируя людьми для получения конфиденциальной информации [!].

Такие схемы становятся особенно эффективными, когда злоумышленники используют убедительные сценарии, такие как обещания промокодов или уведомления о нарушении авторских прав. Например, Telegram-боты собрали паспортные данные и ИНН через статьи в Рунете, обещающие выгодные акции [!].

Важный нюанс: Основная причина успешных атак — не технические уязвимости, а человеческий фактор.

Долгосрочные изменения в безопасности

ClickFix — это не только очередная вредоносная схема. Это переход на новый уровень, где атаки строятся не на технических уязвимостях, а на человеческом факторе. Если раньше защита заключалась в обновлениях и антивирусах, то теперь она должна включать в себя обучение, мониторинг поведения и стратегическое планирование на случай инцидента.

Для бизнеса особенно важно пересмотреть подход к безопасности. Это включает:

• Внедрение систем поведенческой аналитики для выявления аномалий.
• Регулярное обучение сотрудников, акцентируя внимание на поведенческих угрозах.
• Строгие политики, запрещающие запуск неизвестных команд.
• Использование Zero Trust-подхода, где доверие проверяется на каждом этапе.

Важный нюанс: Без четко сформулированной политики и постоянного мониторинга, даже самые продвинутые системы безопасности могут оказаться недостаточными.

Выводы

ClickFix демонстрирует, как быстро меняется характер киберугроз. Атаки становятся всё более ориентированными на пользователя, используя доверие и привычные интерфейсы. Это требует не только технических решений, но и глубокого изменения в подходах к безопасности.

Для российского бизнеса особенно важно учитывать рост сложности мошеннических сценариев, ориентированных на доверие пользователей. Защита начинается с осознанного поведения, а заканчивается стратегией, где каждый шаг проверяется и контролируется.