Nowy atak podszywa się pod aktualizację Windows, próbując przekonać użytkowników, by wkleili i uruchomili polecenia, w efekcie instalując sobie złośliwe oprogramowanie. To wariacja popularnej strategii ClickFix. Złośliwa domena była dostępna w sieci od ok. miesiąca. Sprawa została wykryta i nagłośniona przez specjalistę ds. cyberbezpieczeństwa brytyjskiej służby zdrowia (NHS).
Atak rozpoczyna się od odwiedzenia przez użytkownika złośliwej domeny. Przeglądarka przełącza się w tryb pełnoekranowy i wyświetla grafikę przypominającą aktualizację Windows. Komunikat instruuje wykonanie trzech kroków: naciśnij Win+R (otwiera okno Uruchom), wklej zawartość schowka (Ctrl+V) i naciśnij Enter. W tle strona wcześniej skopiowała do schowka przygotowaną komendę, która pobiera i uruchamia złośliwy kod.
ClickFix wiecznie żywy
Podstawą ataku jest tzw. technika ClickFix: socjotechnika, która zmusza użytkownika do samodzielnego wykonania kroków instalujących malware. Zamiast przełamywać zabezpieczenia, atakujący polega na tym, że użytkownik wykona polecenie dobrowolnie. Takie podejście omija tradycyjne mechanizmy obronne i antywirusy, bo to użytkownik uruchamia szkodliwe instrukcje.
W przeszłości ClickFix wykorzystywał różne podpowiedzi — od fałszywych weryfikacji CAPTCHA po komunikaty o błędach przeglądarki. Teraz autorzy ataku postawili na wiarygodność wizualną: imitują oficjalne komunikaty Windowsa.
Obrona jest prosta i dostępna: nie wykonuj poleceń wyświetlanych przez stronę internetową, naciśnij Esc aby wyjść z trybu pełnoekranowego i zamknij kartę/okno przeglądarki. Nigdy nie wklejaj treści schowka do okna Uruchamiania (Win+R), wiersza poleceń, czy PowerShell, jeśli nie wiesz skąd pochodzi. Pamiętaj o aktualnym oprogramowaniu antywirusowym.
Najsłabszym ogniwem jest człowiek
Ataki typu ClickFix pokazują, że najsłabszym ogniwem pozostaje człowiek — nawet najbardziej zaawansowane systemy bezpieczeństwa można ominąć, jeśli ofiara sama uruchomi złośliwy kod. Bądźmy czujni: jeśli strona prosi o naciśnięcie kombinacji klawiszy, to prawie na pewno jest oszustwo. Przemyślana reakcja (zamknięcie przeglądarki, wyczyszczenie schowka) wystarczy, by uniknąć infekcji.
Źródło: Daniel B. na LinkedIn