2025. 09. 22., 07:42

Trükkös kártevők nyomában, mit hoz a ClickFix-csalás utáni időszak

Trükkös kártevők nyomában, mit hoz a ClickFix-csalás utáni időszak
Az elmúlt hetekben jelentősen nőtt a fejlett kibertámadások száma, köztük a jól ismert ClickFix, valamint újabb módszerek is előtérbe kerültek. Az elkövetők egyre összetettebb trükkökkel próbálják rávenni a gyanútlan felhasználókat, hogy káros szoftvereket telepítsenek – mindezt hétköznapi, megbízhatónak tűnő eszközök, például Google CAPTCHA vagy Cloudflare-ellenőrzés imitálásával érik el.

Az ál-AnyDesk telepítő és a MetaStealer

A legfrissebb támadások során egy áldozat például egy hamis AnyDesk telepítővel találkozott. Keresés közben rábukkant egy letöltési oldalra, melyet a támadók gondosan úgy alakítottak ki, hogy az eredeti, professzionális szoftvernek tűnjön. Az oldal tulajdonképpen a ClickFix támadás továbbfejlesztett változata volt: először egy hamis Cloudflare Turnstile oldallal próbált megbízhatóságot sugallni, majd a Windows Fájlkezelőhöz, nem pedig egyszerűen a Windows Futtatás ablakához irányította az áldozatot. Az átverés részeként egy PDF-nek álcázott MSI csomagot kellett telepíteni, amely végül a kártékony MetaStealer program telepítéséhez vezetett.

Lényeges, hogy a támadók itt nemcsak a bevált social engineering eszközöket használták, hanem technikailag fejlett módszereket is ötvöztek: több lépésben irányítják az áldozatot, egyre bonyolultabb trükkökkel leplezve valódi szándékukat.

Klasszikus és modern “fix” támadási láncok

A ClickFix támadások már egy éve zajlanak, és jellemzően úgy „tukmálják” a felhasználóra a kártékony parancsokat, hogy egy hamis CAPTCHA oldalon keresztül „problémát” kell megoldania. Ezek a trükkök a Futtatás ablakot vagy a PowerShellt használják a támadó által megadott parancs beillesztéséhez, így indítva el a fertőzési láncot. Az újabb verziók, mint például a FileFix, már a Windows Fájlkezelőjét célozzák, például a címsorba beillesztett, előre vágólapra másolt kóddal, ami PowerShell-parancsot futtat.

Az elmúlt hetek egyik példájánál az áldozatot egy olyan oldalra irányították, amely Cloudflare Turnstile „robotellenőrzési” ablakot jelenített meg, és valódinak tűnt. Itt a felhasználónak igazolnia kellett, hogy „ember”, majd egy gombnyomás után elindult a végzetes letöltési folyamat, amely letöltötte és telepítette a MetaStealer információtolvaj programot.

Ez alapján látható, hogy bár a sémák hasonlóak, minden egyes iteráció egyre ügyesebb, nehezebben felismerhető – a támadók folyamatosan cserélik az eszközöket és módszereket, hogy kijátsszák a védelmi rendszereket és az emberi éberséget.

A MetaStealer trükkös bejuttatása

Az ál-AnyDesk telepítő támadása különösen rafinált példája az új generációs fertőzési láncoknak. Az eredeti letöltési hivatkozás egy olyan oldalra mutat, amely nemcsak vizuálisan meggyőző, de HTML forráskódja is alaposan elmaszkolt, obfuszkált JavaScript kódot tartalmaz, hogy a tapasztalatlan szemek nehezebben ismerjék fel a csalást.

A látogatónak egy „ellenőrző” dobozt kell kipipálnia, majd a folyamat – a klasszikus Futtatás ablak helyett – a Windows Fájlkezelőn keresztül, különleges „search-ms” URI protokollal indított keresési lekérdezéssel halad tovább. Az áldozat végül egy Windows LNK parancsikont lát, amelynek kiterjesztése valójában PDF, de kattintás után azonnal elindítja a háttérben a kártékony folyamatot.

Ha a felhasználó rákattint, először egy látszólag valódi AnyDesk töltődik le, hogy gyanút keltsen, közben azonban egy másik, chat1.store címről származó, megtévesztésig PDF-nek tűnő MSI is letöltődik, amely az áldozat gépnevét is elküldi a támadóknak.

A tényleges fő csomag két kulcsfontosságú fájlt tartalmaz: egy CustomActionDLL-t és egy CAB archívumot további fájlokkal. Az egyik, 1.js, az infektálási lánc eltakarításáért felelős, míg az ls26.exe maga a MetaStealer. Ez utóbbi egy nagy méretű bináris, amelyet speciális védelmi szoftver rejt el – felismerhető viselkedése a kriptotárcákból történő adatlopásban mutatkozik meg.


Tanulságok, védekezési tippek

A ClickFix és a hasonló támadások azért hatékonyak, mert hétköznapi és banális folyamatokhoz kapcsolódnak – legyen szó CAPTCHA-ról vagy megbízhatónak tűnő felhasználói ellenőrzésekről.

Fontos tudni, hogy ezek a támadók tudatosan a felhasználó manuális közreműködésére építenek. Így a legtöbb vírusvédelmi vagy automatizált elhárító rendszer kijátszható, hiszen nem a csomag települ magától, hanem a felhasználó jóváhagyásával.

Ezért kiemelten lényeges, hogy a szervezetek ne csak a klasszikus Futtatás ablak jogosultságait korlátozzák, hanem a felhasználói oktatást is előtérbe helyezzék. Fel kell ismerni azokat a trükköket, amelyek eljutnak a Fájlkezelőig vagy vágólapra másolt parancsokat használnak – illetve az olyan gyanús megerősítési oldalakat, ahol a valódi weboldalak elemeit, például CAPTCHA-t utánozzák.

Figyelendő címek és fájlok

A legfontosabb észlelt támadási címek és elemek közé tartozik többek között a https://anydeesk.ink/download/anydesk.html hamis letöltőoldal, a chat1.store, a csomagban található CustomActionDLL, valamint a MetaStealer dropperfájlok (például az ls26.exe). A támadók által ellenőrzött címek: macawiwmaacckuow.xyz, yeosyyyaewokgioa.xyz, cmqsqomiwwksmcsw.xyz, illetve a hozzájuk tartozó IP-cím: 38.134.148.74.

Összefoglalva: a támadók továbbra sem pihennek, folyamatosan fejlesztik technikáikat, egyre trükkösebb fertőzési láncokat alkalmaznak, és egyre jobban kihasználják a felhasználók hiszékenységét – ezért az egyéni odafigyelés legalább olyan fontos, mint bármely korszerű biztonsági szoftver.

2025, adminboss, www.bleepingcomputer.com alapján

Legfrissebb posztok

MA 15:01

A Meta limitet szab az okosszemüvegek Conversation Focusának

👑 A Meta okosszemüvegei új korlátozást kaptak: már csak havi három órán át használható ingyen a Conversation Focus nevű funkció...

MA 14:31

Az amerikai kormány újra zöld utat ad Anthropic Mythos és Fable MI‑modelljeinek

Az Egyesült Államok Kereskedelmi Minisztériuma feloldotta az exporttilalmat az Anthropic két fejlett MI-modellje, a Mythos 5 és a Fable 5 esetében...

MA 10:25

Az amerikai kormány zöld utat ad a legerősebb Claude-oknak

Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...

MA 10:01

A Meta-leépítések után is cáfolja az MI miatti állásfélelmeket Zuckerberg

A technológiai iparban egyre nagyobb félelem övezi azt, hogy az MI széles körű elterjedése mennyi munkahely megszűnéséhez vezethet...

MA 09:25

A rejtélyesen eltűnő chatek: felháborodtak a Claude Code-felhasználók

Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...

MA 09:14

A Pokémon GO júliusa: új raidfőnökök, kiemelt órák, GO Fest-őrület

Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/1

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...

MA 09:01

Az MI rejtett szívkockázati jelre bukkant a százéves EKG-ban

❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...

MA 08:37

A NASA négy új robotküldetéssel tör utat a holdbázisnak

🚀 Megemlíthető, hogy az amerikai űrügynökség egyre nagyobb lendülettel dolgozik azon, hogy hosszú távú emberi jelenlétet teremtsen a Holdon...

MA 08:25

Az MI-lökéshullám felpörgeti a Dell bevételeit, de messze nem aranybánya

Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...

MA 08:13

A 6 milliós Pokémon-kártyalopásért több mint tíz év börtönt kapott

💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...

MA 08:01

A Szamóca-hold ma este: az év legalacsonyabb, apró teliholdja

🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...

MA 07:48

Az Android 17 új zárképernyő-trükkje bárkit elbuktat betöréskor

Az Android 17 jelentős szigorításokat vezet be a zárolóképernyőn, amellyel gyakorlatilag ellehetetleníti a PIN vagy jelszó feltörését...

MA 07:36

A kínai Lineshine szuperszámítógép világrekorder: közel 2 kvadrillió művelet/mp

A kínai LineShine szuperszámítógép most először szerezte meg a világelsőséget a számítási sebesség terén...

MA 07:25

Az amerikai agrárminisztérium 180 millió legyet enged szabadon – íme, miért

A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...

MA 07:13

A Microsoft felpörgeti kvantumbiztos ütemtervét, nőnek a kockázatok

⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...

MA 06:49

Az MI‑böngészők új réme: a BioShocking-adatlopás

Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...

MA 06:37

A Samsung szó szerint átformálja a hajlítható telefonjait?

Ahogy beköszönt a nyár, egyre hangosabbak a pletykák a Samsung legújabb összehajtható telefonjairól...

MA 06:06

Történelmi események a mai napon (Július 1.)

Ma háborúk fordulópontjai, birodalmak átrendeződései és új korszakokat nyitó tudományos, társadalmi mérföldkövek találkoznak...

MA 06:01

Az okosabb botvédelem mostantól megóvja a Teams-megbeszéléseket

🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...

kedd 18:32

A Cleveland-i Fed elnöke szerint MI fűti az inflációt – jöhet újabb kamatemelés

A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...

kedd 18:01

A Samsung Messages júliusban leáll: ezt az 5 dolgot tedd meg azonnal!

⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...

kedd 17:02

Az új CRISPR az epigenomot célozza, átírja a gének kapcsolóit

🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..

kedd 16:31

A Tata Electronicsnál múlt héten kiszivárogtak érzékeny iPhone-beszállítói adatok

Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...

kedd 16:01

A YouTube-on már nézhető a Peacock – épp a vb-re!

A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...

kedd 15:01

A Blackfield 2 millió dollárt követel a Nidec-től

💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...

kedd 14:32

A Sentryn át eltérítették a Claude Code-ot; Datadog, PagerDuty, Jira is veszélyben

A Claude Code MI-ügynök elleni támadás meglepő módon mindent kikerült, amit ma védelemnek nevezünk...

kedd 12:01

A kínai szuperszámítógép a világ leggyorsabbja, lehagyta Amerikát

A kínai LineShine nevű szuperszámítógép lett a világ leggyorsabbja, első ízben 2017 óta, hogy ismét kínai gép vezeti a mezőnyt...

kedd 11:31

A tenger alatti alagutaké a jövő Shetlanden: összekötnék a szigeteket

🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...