Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Истражувач анализираше 3.000 активни ClickFix payload-и и откри API-базирана испорака на малициозен софтвер

ClickFix, техниката што ги наведува корисниците самите да извршат малициозен софтвер, тивко доби многу пософистицирана инфраструктура во позадина.

Ново истражување покажува дека злонамерните команди што стојат зад лажните страници со порака „докажете дека сте човек“ сега се испорачуваат преку API-сервери, кои на секој посетител му доставуваат ист малициозен софтвер, но маскиран на различен начин. Истражувањето откри и нов метод за испорака на код, дизајниран да го заобиколи механизмот на Windows за скенирање на скрипти.

Безбедносниот истражувач Берт-Јан Палс (Bert-Jan Pals) анализирал неколку ClickFix платформи и испитал околу 3.000 payload-и од активни кампањи. Наодите ги презентирал на конференцијата OrangeCon на почетокот на јуни, а деталите ги објавил на 30 јуни.

ClickFix е намерно едноставен. Компромитирана веб-страница прикажува лажен CAPTCHA или порака за грешка, додека скриен JavaScript автоматски копира злонамерна команда во таблата со исечоци (clipboard). Потоа страницата му кажува на корисникот да притисне комбинација од копчиња, да ја залепи командата и да притисне Enter. На тој начин, корисникот несвесно самиот го активира малициозниот софтвер.

Вообичаено, во првата фаза нема искористување на ранливост (exploit), а често нема ниту датотека што класичните антивирусни решенија би можеле да ја детектираат. Поради тоа, традиционалните системи за заштита на електронската пошта и крајните уреди имаат значително помали шанси да го откријат нападот.

Техниката е доволно ефикасна што компанијата ESET забележала раст од 517% во периодот од крајот на 2024 година до првата половина на 2025 година. Воедно, Microsoft во својот Digital Defense Report 2025 наведува дека ClickFix бил присутен во 47% од случаите на почетен пристап што ги анализирал тимот Defender Experts.

Поради својата распространетост, техниката доби и сопствена ознака во рамката MITRE ATT&CKT1204.004.

Payload-и по нарачка

Најновата промена е начинот на кој се создаваат и испорачуваат payload-ите.

Палс открил дека страниците не содржат однапред подготвени команди, туку ги преземаат од сервери во позадина што функционираат како услуга „по барање“. Тие примаат барање, проверуваат токен за пристап, го евидентираат посетителот и секојпат враќаат нова, поинаку обфускирана (маскирана) верзија на истата команда.

Истражувачот испратил 100 барања до еден од серверите и добил 100 различни payload-и, при што секој бил заштитен со различна комбинација од техники за кодирање и шифрирање, како Base64, AES, TripleDES, Rijndael и Deflate.

Кога ќе се отстранат сите слоеви на обфускација, сите payload-и моментално се сведуваат на иста скрипта, која се извршува директно во меморијата преку PowerShell runspace, без потреба од создавање датотеки на дискот.

Маскирањето е привремено и лесно се менува, но малициозниот код под него останува ист. Сепак, Палс предупредува дека во блиска иднина е многу веројатно основниот payload исто така да почне да се менува за секоја жртва поединечно.

Истата платформа испорачува мамки на 25 јазици и автоматски ја прилагодува злонамерната команда според оперативниот систем на посетителот, нудејќи верзии и за macOS, покрај оние за Windows.

Ознаката „as-a-service“ не е само маркетиншки термин. Компанијата ESET веќе документираше дека сајбер-криминалци продаваат готови ClickFix алатки („builders“) на други напаѓачи. Палс открил и дополнителен степен на комерцијализација – во самиот начин на кој payload-ите автоматски се генерираат по барање преку серверите во позадина.

Потивок начин за компромитирање: методот со папката Downloads

Второто откритие претставува директен одговор на безбедносните решенија што го следат clipboard-от (таблата со исечоци). Наместо во него да копираат злонамерна команда, поновите ClickFix страници копираат команда што на прв поглед изгледа сосема безопасно.

Страницата тивко презема датотека во папката Downloads, а во таблата со исечоци (clipboard) се копира кратка „оркестратор“ команда, која ја преместува датотеката, ја распакува и ја извршува скриптата што се наоѓа во неа. Бидејќи копираната команда е само оркестраторот, а не самиот малициозен payload, таа е дизајнирана да го заобиколи AMSI (Antimalware Scan Interface) – безбедносниот механизам на Windows што им овозможува на антивирусните програми да ги скенираат скриптите пред нивното извршување.

Злонамерниот код останува скриен во преземената датотека, наместо да биде директно внесен преку clipboard. Забележаната PowerShell команда изгледала вака:

powershell -C "$t=$env:TMP;Move-Item \"$HOME\Downloads\tmp.zip\" \"$t\7947.zip\";tar -xf \"$t\7947.zip\" -C \"$t\";conhost --headless powershell -ExecutionPolicy Bypass -File \"$t\tmp.ps1\" # \"* I am not a robot reCAPTCHA Verification ID:7947 *\""

Во меѓувреме, и начинот на извршување станал потаен. Првичната верзија на ClickFix од 2024 година ги упатувала корисниците да притиснат Windows+R и да ја залепат командата во прозорецот Run.

Поновата верзија, која масовно се користела во текот на 2025 година и продолжила во 2026 година, ги насочува жртвите да притиснат Windows+X и да ја извршат командата преку Windows Terminal. Користењето на Terminal изгледа многу поприродно, а за разлика од прозорецот Run, не остава записи во RunMRU регистарскиот клуч, кој форензичарите често го проверуваат при истраги.

ClickFix одамна престана да биде алатка што ја користат само сајбер-криминалци. Компанијата Proofpoint ги поврза државно поддржаните групи од Русија, Иран и Северна Кореја, вклучувајќи ги APT28, MuddyWater и Kimsuky, со кампањи во кои ClickFix бил вграден во нивните постојни синџири на инфекција. Севернокорејски групи дури развиле и лажна платформа за интервјуа за работа наречена ClickFake Interview, насочена кон лица што работат во криптовалутната индустрија.

Од оваа техника произлегоа и нови варијанти, како FileFix и DownloadFix, кои се потпираат на други доверливи алатки вградени во Windows.

Размерите на заканата не се само теоретски. Безбедносната компанија Expel проценува дека една кампања на ClearFake, активна од крајот на август 2025 година, можеби компромитирала дури 147.521 систем.

На што треба да внимаваат безбедносните тимови

Основните препораки за одбрана не се промениле, но индикаторите што треба да се следат се поинакви.

Наместо да се анализира содржината на clipboard-от, многу посигурен показател се синџирите на процеси. Особено сомнително е кога explorer.exe или WindowsTerminal.exe ќе стартуваат powershell.exe, cmd.exe или msiexec.exe, по што веднаш воспоставуваат мрежна комуникација.

Во анализата на Палс, најчести биле токму овие процеси. PowerShell и cmd.exe биле користени во околу 39% од случаите, додека msiexec.exe следел веднаш зад нив со околу 34%.

Истражувачите препорачуваат користење на:

  • EDR решенија што детектираат сомнително однесување на процесите;
  • правила за контрола на апликациите што ограничуваат кои програми смеат да стартуваат интерпретатори за скрипти;
  • едукација на корисниците со едноставно правило: никогаш не лепете команда во прозорецот Run или во терминал само затоа што веб-страница ви кажала да го направите тоа.

Методот со папката Downloads додава уште еден индикатор што треба да се следи – безопасна еднолиниска команда што пристапува до папката Downloads, а потоа стартува скриена PowerShell сесија.

Палс идентификувал и три сервери што биле користени за испорака на payload-и за време на истражувањето:

  • comicstar[.]lat
  • babybon[.]cfd
  • merkantalolol[.]asia

Поврзување со некој од овие сервери не значи автоматски дека системот е заразен. Сепак, тоа е силен показател дека на корисникот најверојатно му била доставена ClickFix команда преку clipboard.

Заклучокот на Палс е недвосмислен:

ClickFix е тука за да остане.

Неговото истражување покажува дека техниката постојано се менува веднаш штом безбедносните тимови ќе почнат успешно да ја откриваат. Преминот од едноставни скрипти кон сервери што генерираат payload-и по барање им овозможува на напаѓачите брзо, евтино и лесно да ги приспособуваат своите кампањи.

Следниот развој што истражувачите внимателно ќе го следат е дали, покрај маскирањето, и самиот малициозен софтвер ќе почне автоматски да се менува од една жртва до друга.

Извори:

  • The Hacker News – Researcher Analyzes 3,000 Live ClickFix Payloads, Exposing API-Driven Malware Delivery The Hacker News