Eksperci od cyberbezpieczeństwa alarmują o nowej, niezwykle sprytnej metodzie infekowania komputerów, która zyskuje na popularności i omija tradycyjne zabezpieczenia. Atak, nazwany ClickFix, nie jest skomplikowanym wirusem ani technicznym exploitem. To wyrafinowana forma inżynierii społecznej, która polega na psychologicznej manipulacji i przekonaniu użytkownika, aby ten sam, dobrowolnie, zainstalował złośliwe oprogramowanie na swoim komputerze. Hakerzy wykorzystują do tego fałszywe błędy przeglądarki, które wyglądają tak realistycznie, że większość osób nieświadomie wpada w pułapkę.
Czym jest atak ClickFix?
ClickFix to wieloetapowy atak hakerski, którego fundamentem jest inżynieria społeczna. Nazwa pochodzi od jego mechanizmu, w którym ofiara jest przekonana, że musi coś kliknąć, aby naprawić (fix) rzekomy błąd techniczny. W przeciwieństwie do klasycznego phishingu, który próbuje wyłudzić hasła, celem ClickFix jest pełna infekcja komputera i przejęcie nad nim kontroli. Cały atak opiera się na wiarygodnym udawaniu problemu, którego w rzeczywistości nie ma.
Jest to nowa metoda infekcji, która zyskuje na popularności, ponieważ jest bardzo skuteczna i trudna do wykrycia przez programy antywirusowe. Atakujący nie włamują się siłą do systemu. Zamiast tego, w inteligentny sposób manipulują użytkownikiem, aby ten sam otworzył im drzwi. To pokazuje, że najsłabszym ogniwem w łańcuchu bezpieczeństwa wciąż pozostaje człowiek i jego naturalna skłonność do ufania komunikatom systemowym.
Jak działa fałszywy błąd przeglądarki?
Typowy scenariusz ataku ClickFix rozpoczyna się, gdy użytkownik odwiedza legalną, ale zainfekowaną stronę internetową, lub zostanie na nią przekierowany. W pewnym momencie na ekranie pojawia się okno, które do złudzenia przypomina prawdziwy, oficjalny komunikat błędu przeglądarki, na przykład Google Chrome lub Firefox. Fałszywy błąd przeglądarki informuje ofiarę o rzekomym problemie. Może to być na przykład brak możliwości wyświetlenia strony z powodu przestarzałej czcionki lub uszkodzonego certyfikatu.
Komunikat ten jest zaprojektowany niezwykle profesjonalnie i często zawiera logo przeglądarki oraz techniczny żargon, aby wyglądać autentycznie. Kluczowym elementem jest jednak oferta natychmiastowego rozwiązania problemu. Użytkownik widzi przycisk lub link z napisem typu Napraw teraz lub Zainstaluj brakujący komponent. Kliknięcie go rozpoczyna drugi, znacznie groźniejszy etap ataku hakerskiego.
Inżynieria społeczna w praktyce.
Po kliknięciu fałszywego przycisku naprawy, użytkownik jest przenoszony do instrukcji, która jest szczytowym osiągnięciem inżynierii społecznej. Ofiara widzi okno z rzekomym skryptem naprawczym. Instrukcja krok po kroku wyjaśnia, jak należy ręcznie skopiować ten skrypt i wkleić go do systemowej konsoli, na przykład PowerShell w systemie Windows lub Terminal w macOS. Atakujący przekonują, że jest to standardowa procedura serwisowa, zalecana przez Microsoft lub Google.
To genialne posunięcie, ponieważ użytkownik, wierząc, że naprawia błąd, sam wykonuje złośliwy kod na swoim komputerze. Daje on w ten sposób pełne uprawnienia do działania, omijając wszelkie zabezpieczenia antywirusowe. Programy te często nie reagują, ponieważ z ich perspektywy to sam administrator systemu świadomie uruchomił skrypt. To oszustwo bazujące na zaufaniu do autorytetu.
Co się dzieje po uruchomieniu skryptu?
Skrypt, który ofiara wkleja do konsoli, jest w rzeczywistości tak zwanym downloaderem. Jego jedynym zadaniem jest ciche pobranie i uruchomienie na komputerze właściwego, złośliwego oprogramowania. W tym momencie atak ClickFix odnosi pełen sukces, a komputer jest zainfekowany. Hakerzy uzyskują pełen dostęp do systemu ofiary, a konsekwencje mogą być katastrofalne.
W zależności od celu kampanii, pobranym oprogramowaniem może być malware typu PureRAT, który daje hakerom zdalną kontrolę nad komputerem. Może to być również info-stealer, który kradnie zapisane w przeglądarce hasła, dane kart kredytowych i klucze do portfeli kryptowalut. W skrajnych przypadkach może to być ransomware, które zaszyfruje cały dysk twardy. Od tego momentu hakerzy mogą zrobić z naszymi danymi wszystko.
Jak się chronić przed ClickFix?
Obrona przed atakiem ClickFix opiera się w stu procentach na świadomości i sceptycyzmie, a nie na technologii. Najważniejsza zasada brzmi: żadna przeglądarka internetowa ani system operacyjny nigdy nie prosi użytkownika o ręczne kopiowanie i wklejanie skryptów do konsoli w celu naprawy błędu. Jest to absolutnie niestandardowa procedura i powinna natychmiast zapalić czerwoną lampkę ostrzegawczą.
Jeśli zobaczysz na stronie internetowej komunikat o błędzie przeglądarki, który wydaje się podejrzany, zignoruj go. Najlepiej jest natychmiast zamknąć całą kartę lub przeglądarkę. Aktualizacje oprogramowania należy przeprowadzać wyłącznie za pośrednictwem oficjalnych mechanizmów w ustawieniach systemu lub przeglądarki. Pod żadnym pozorem nie wolno uruchamiać żadnych plików ani skryptów podawanych przez wyskakujące okienka na stronach internetowych.
