Ataki ClickFix stale ewoluują. Technika ta wydaje się coraz częściej wykorzystywana przeciwko użytkownikom systemu macOS, a jej „wabiki” stają się coraz bardziej przekonujące.
ClickFix jest szeroko stosowany zarówno przez cyberprzestępców nastawionych na zysk, jak i przez grupy przestępcze sponsorowane przez państwa. Pisaliśmy o tej technice wielokrotnie.
Na czym polega atak ClickFix?
Atak ClickFix to taktyka socjotechniczna, która pozwala hakerom nakłonić ofiary do nieumyślnego wykonania złośliwych poleceń, w szczególności takich, które prowadzą do wdrożenia złośliwego oprogramowania.
Atak polega na wyświetleniu fałszywego komunikatu o błędzie, informującego użytkownika, iż aby „naprawić problem”, musi kliknąć przycisk i wykonać serię operacji.
Gdy użytkownik kliknie przycisk „Napraw” lub „Zweryfikuj” w wierszu poleceń, złośliwe polecenie jest kopiowane w tle do schowka.
W systemie Windows ofiara jest następnie proszona o naciśnięcie klawiszy Windows+R, co otwiera okno dialogowe Uruchamianie systemu Windows, następnie Ctrl+V, co powoduje wklejenie złośliwego polecenia ze schowka do pola, a na koniec Enter w celu wykonania polecenia. Polecenie zwykle działa w tle (często wykorzystując legalne narzędzie systemu Windows, takie jak PowerShell), pobierając i instalując złośliwe oprogramowanie.
Jako iż ofiara manualnie uruchamia polecenie i instaluje złośliwe oprogramowanie, systemy bezpieczeństwa, które zwykle wykryłyby automatyczne pobranie malware, są w tej sytuacji zawodne.
Ataki ClickFix były przeprowadzane głównie na użytkownikach systemu Windows, ale pojawiły się również doniesienia o atakach wymierzonych w użytkowników systemu macOS – i te wydają się znacznie ewoluować w ostatnich miesiącach.
Przykłady kampanii ClickFix na macOS
Kilka miesięcy temu Microsoft ostrzegał przed kampanią ClickFix, w której fałszywe instrukcje weryfikacji Cloudflare wyświetlane w złośliwym monicie dla użytkowników macOS zawierały instrukcje przeznaczone dla użytkowników systemu Windows.
Z kolei CrowdStrike niedawno poinformował o ataku ClickFix, którego celem było wdrożenie złośliwego systemu o nazwie SHAMOS, będącego wariantem programu wykradającego informacje z systemu macOS – AMOS.
Fałszywe instrukcje dla ofiar zostały dostosowane do systemu macOS, gdzie użytkownicy byli instruowani, by nacisnąć klawisze Command i spacji celem otwarcia wyszukiwarki Spotlight, wpisać „Terminal” i wykonać dane polecenie. Większa niż w przypadku Windowsa liczba kroków do wykonania prawdopodobnie wzbudziła większe podejrzenia, ponieważ ofiara była instruowana, aby manualnie skopiować dane polecenie, wkleić je do okna terminala i wykonać. W trakcie tego procesu system macOS mógł również poprosić ofiarę o podanie hasła systemowego, co mogło dodatkowo wzbudzić podejrzenia.
Kolejne doniesienia badaczy to informacje z Push Security, firmy zajmującej się wykrywaniem zagrożeń w przeglądarkach i reagowaniu na nie. W czwartek poinformowała ona o „najbardziej zaawansowanej jak dotąd aplikacji ClickFix”.
W nowej kampanii okienko ClickFix imituje stronę weryfikacyjną Cloudflare i jest dobrze zaprojektowane. Instrukcje są dostosowane do użytkowników systemu macOS, jest mniej kroków do wykonania w porównaniu z atakami CrowdStrike, a złośliwe polecenie jest najwyraźniej automatycznie kopiowane do schowka użytkownika.
Ponadto strona zawiera osadzony film, który pokazuje użytkownikowi, jak wykonać instrukcje, aby potwierdzić, iż ten jest człowiekiem. Wyświetlany jest również licznik czasu, aby wywrzeć presję.
