Képbe rejtett támadások
A támadási folyamat egy megtévesztő weboldallal indul, amely teljes képernyős kék Windows Update-hamisítvánnyal rémíti meg a látogatót. Ha valaki bedől a csalásnak, felszólítják, hogy futtassa a Futtatás ablakban (Win+R) a támadó által megadott parancsot. Ez az utasítás több lépcsős folyamatot indít el: először egy mshta.exe-t futtat, amely PowerShell-kódot hív be. A PowerShell betölti és dekódolja a beágyazott .NET-kódrészleteket, végül pedig kiemeli a PNG-képekbe rejtett Donut-pack shellcode-okat. Ezeknek a shellcode-oknak a célja az adatlopó kártevő telepítése.
Globális támadáshullám
2025. szeptember 29. és október 30. között a Huntress 76 esetet azonosított, amelyek széles körben érintettek szervezeteket Amerikában, Európában, a Közel-Keleten, Afrikában és az ázsiai–csendes-óceáni térségben. Már ismert egy feltételezett támadó IP-cím is: 141.98.80.175. A támadások közös jellemzője, hogy első körben egy URL-t használnak, amelynek második oktettje hexadecimálisan kódolt – így irányítják át az áldozatot a rejtett kártékony tartalmat szállító oldalakra.
Az elkövetők és a védekezés lehetőségei
Bár még nem tudni pontosan, kik állnak a támadások hátterében, az oldalak forráskódjában orosz nyelvű megjegyzések bukkantak fel, ezért könnyen feltételezhető kelet-európai kapcsolat. A támadási hullám nem szűnt meg azután sem, hogy a hatóságok november 13-án végrehajtották a Végjáték hadműveletet (Operation Endgame): november 19-én még több aktív domain volt elérhető.
A ClickFix ellen többféleképpen lehet védekezni: célszerű letiltani a Windows Futtatás ablakát, valamint oktatni a dolgozókat arról, hogy a valódi Windows Update vagy CAPTCHA soha nem kér kézi parancsfuttatást. Ezenkívül érdemes figyelni minden olyan folyamatot, amely váratlan paraméterekkel indít explorer.exe-t, mshta.exe-t vagy PowerShellt.
