СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
1 час назад
#ИБ

ClickFix Now — любимый способ распространения вредоносного ПО среди киберпреступников

ClickFix Now — любимый способ распространения вредоносного ПО среди киберпреступников

изображение: grok

ClickFix за несколько месяцев превратился в один из самых массовых способов заражения компьютеров вредоносными программами. Аналитики ReliaQuest выяснили, что с марта по май 2026 года именно эта техника применялась заметно чаще многих привычных методов проникновения. Вместо поиска ошибок в программах преступники начали использовать человеческое доверие и добиваться того, чтобы человек собственными руками запускал заражение.

Вместо сложного взлома преступникам теперь нередко достаточно убедить человека выполнить несколько простых действий. Пользователю показывают инструкцию, внешне похожую на обычную рекомендацию сайта, после чего просят открыть системный инструмент и вставить заранее подготовленную команду. После подтверждения начинается загрузка вредоносной программы, а сам процесс внешне выглядит вполне обычным. Для защитных средств подобная активность выглядит так, словно владелец компьютера сам решил выполнить нужную команду.

Интересный момент: ClickFix почти не использует технические лазейки. Главной целью становится сам пользователь, которого убеждают добровольно запустить вредоносный код.

По данным ReliaQuest, подобная схема за короткий срок получила широкое распространение и постепенно вытеснила немало привычных способов доставки вредоносного ПО. Если раньше преступникам приходилось искать уязвимости в программах или операционной системе, то теперь достаточно заставить человека выполнить одно действие.

Наиболее популярной приманкой остаются поддельные страницы проверки CAPTCHA. Пользователь открывает сайт и видит знакомое окно с предложением подтвердить, что он не робот. Вместо выбора изображений или установки отметки человеку предлагают выполнить несколько действий вручную. Одним из них оказывается вставка команды в системное окно. После подтверждения компьютер начинает получать вредоносные файлы практически незаметно для владельца. Чаще всего злоумышленники используют встроенные инструменты операционной системы:

  • окно «Выполнить»;
  • PowerShell;
  • Терминал;
  • другие штатные средства запуска команд.

Каждый из этих инструментов присутствует в системе изначально, поэтому их использование не вызывает подозрений у многих пользователей. Этим и пользуются организаторы подобных кампаний.

ReliaQuest сообщает, что через ClickFix распространялись разные семейства вредоносного ПО. Одним из наиболее заметных оказался загрузчик Deepload. Его задача заключается в первоначальном проникновении на компьютер, после чего устройство получает другие вредоносные компоненты. Фактически Deepload становится первым звеном длинной цепочки заражения. Через подобную схему преступники получают возможность доставлять самые разные программы:

  • похитители данных;
  • средства удалённого управления;
  • программы для загрузки новых модулей;
  • инструменты закрепления внутри системы;
  • другое вредоносное ПО.

Чем дольше устройство остаётся незамеченным после проникновения, тем больше возможностей появляется у злоумышленников. Они могут собирать информацию, загружать новые модули или расширять собственное присутствие внутри системы без заметных признаков для владельца компьютера.

Исследователи впервые зафиксировали применение ClickFix против пользователей macOS. Раньше владельцы компьютеров Apple значительно реже сталкивались с подобными цепочками заражения, но теперь преступники активно расширяют круг потенциальных жертв. Одной из кампаний распространялся троян Atomic Stealer, который также известен под названием AMOS.

После проникновения программа начинает собирать информацию, представляющую ценность для злоумышленников:

  • данные браузеров;
  • файлы cookie;
  • сохранённые учётные записи;
  • содержимое криптовалютных кошельков;
  • сведения из системной связки ключей macOS;
  • сохранённые пароли и сертификаты.

Полученные сведения затем могут использоваться для захвата аккаунтов, кражи цифровых активов или проникновения в корпоративные сервисы. Потерпевший нередко узнаёт о заражении уже после появления посторонней активности в своих учётных записях.

Apple недавно усилила защиту Терминала и начала предупреждать пользователей при попытке выполнить подозрительные команды, скопированные из буфера обмена. Авторы ClickFix довольно быстро перестроили свои действия. Теперь вместо Терминала человеку предлагают открыть встроенный Script Editor, куда также вставляется заранее подготовленная последовательность команд. После запуска цепочка заражения продолжается практически так же, как раньше.

Стоит обратить внимание, что авторы ClickFix не остановились после появления новых ограничений в macOS, а просто нашли другой встроенный инструмент, который помогает продолжить атаку.

Подобная перестройка показывает, что преступники внимательно следят за изменениями в популярных операционных системах и быстро меняют свои методы. Стоит исчезнуть одному пути проникновения, как практически сразу появляется новый вариант, рассчитанный на те же приёмы социальной инженерии.

В ReliaQuest считают, что владельцам компьютеров Apple больше не стоит воспринимать свои устройства как менее привлекательную цель. Если несколько лет назад основная масса подобных кампаний была ориентирована почти исключительно на Windows, то сейчас интерес злоумышленников заметно расширился. Корпоративные компьютеры под управлением macOS также начали попадать в поле зрения организаторов подобных операций.

Специалисты рекомендуют относиться к устройствам Apple и Windows по одинаковым правилам контроля:

  • отслеживать подозрительную активность;
  • быстро проверять необычные действия пользователей;
  • реагировать на признаки заражения без задержек;
  • использовать одинаковые требования для всех рабочих станций.

Отдельное внимание специалисты советуют уделять обучению сотрудников. Человек должен понимать, что команды, опубликованные на неизвестных сайтах, полученные по электронной почте или через мессенджеры, нельзя запускать только потому, что инструкция выглядит правдоподобно. Любая просьба открыть системный инструмент и вставить неизвестный текст должна вызывать сомнение.

Во время внутренних тренировок компаниям советуют использовать примеры для обеих популярных операционных систем:

  • показывать поддельные страницы CAPTCHA;
  • разбирать признаки обмана;
  • объяснять, почему нельзя вставлять неизвестные команды;
  • проводить обучение для пользователей Windows;
  • проводить обучение для пользователей macOS.

Администраторам рекомендуется ограничивать использование окна «Выполнить», контролировать работу буфера обмена, блокировать запуск подозрительных исполняемых файлов и сокращать доступ сотрудников к сайтам с сомнительной репутацией. Через подобные ресурсы преступники нередко распространяют страницы ClickFix и размещают вредоносную рекламу, которая становится первым звеном цепочки заражения.

Эксперты редакции CISOCLUB считают, что популярность ClickFix показывает заметное изменение привычной логики кибератак. Если раньше преступники вкладывали больше усилий в поиск технических ошибок, то сейчас ставка делается на обычного пользователя. Подобная схема требует значительно меньше ресурсов и нередко приносит хороший результат. Владельцам компьютеров уже недостаточно рассчитывать только на защитные программы. Намного большее значение начинает иметь привычка критически относиться к любым инструкциям, которые предлагают выполнить неизвестную команду или открыть системный инструмент без понятной причины.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: