воскресенье, 8 июня 2025 г.

ClickFix: как работает новая схема хакеров и как от неё защититься

ClickFix: как работает новая схема хакеров и как от неё защититься

С весны 2024 года активно распространяется новый тип атак под названием ClickFix. Он особенно опасен, потому что пользователи сами вручную запускают вредоносный код, снижая эффективность традиционных средств защиты.

Как именно это работает?

Хакеры используют несколько основных техник социальной инженерии:

  1. Фейковая CAPTCHA от Cloudflare
    На фишинговом сайте предлагают пройти «проверку» с помощью комбинации клавиш: Win + R → Ctrl + V → Enter.
    Пользователь вставляет заранее скопированную вредоносную команду PowerShell, сам запуская вредоносный код.
  2. Поддельные ошибки и обновления браузера
    «Ошибка просмотра PDF», «Необходимо обновить плагин» — также заканчивается вставкой и запуском вредоносного скрипта.
  3. Фальшивые уведомления о доступе к микрофону и камере
    Пользователь пытается «исправить ошибку» и снова запускает вручную вредоносную команду.
  4. Стеганография и RAT
    Используется скрытая загрузка вредоносных программ через изображения (например, PNG).
  5. Использование известными APT-группами
    Такие атаки уже применяют APT-группы, например, Kimsuky (Северная Корея) и APT28.

Как распознать атаку ClickFix?

  • Сайт или сообщение требует ручного ввода команды через Win + R.
  • Кнопки с необычными надписями («Fix it», «Confirm», «Проверить вручную»).
  • Срочные запросы или предложения быстрого решения технической проблемы.

Как защититься от ClickFix?

  • Обучайте сотрудников: никогда не вставлять и не запускать команды из ненадёжных источников.
  • Ограничьте запуск командной строки и PowerShell на рабочих компьютерах.
  • Используйте актуальные антивирусы и решения класса EDR.
  • Настройте мониторинг активности буфера обмена и запуска скриптов.
  • Введите политику безопасности, запрещающую выполнение команд из неизвестных источников.

Запомните: если вас попросили вручную вставить неизвестную команду для «проверки» или «исправления» проблемы — скорее всего, это ClickFix. Остановитесь и проверьте источник ещё раз.

Берегите себя и будьте бдительны!