Аналитики Guardio Labs отмечают, что по темпам и размаху новая схема даже вытеснила с рынка поддельные обновления поисковиков.
Метод ClickFix выделяется тем, что полностью отказался от необходимости скачивать какие-либо файлы, что раньше было основой большинства подобных атак, согласно Securitylab. Вместо этого жертве демонстрируется убедительное сообщение о несуществующей проблеме либо предлагается пройти «CAPTCHA».
В обоих случаях человек самостоятельно выполняет опасные действия: через подставные страницы атакующие убеждают скопировать сгенерированную команду и вставить её в системный терминал или окно «Выполнить» на Windows. Всё это происходит под предлогом быстрого решения возникшей трудности, что вызывает у многих ощущение срочности и доверия.
Для попадания на такие ловушки злоумышленники используют широкий арсенал — от рассылок на электронную почту и «drive-by» атак, до вредоносной рекламы и манипуляций поисковой выдачей. Фейковые сообщения максимально адаптируются под разные платформы, а злоумышленники стараются действовать через доверенные инфраструктуры: например, хостят поддельные страницы с CAPTCHA через Google Scripts, а вредоносные файлы маскируют под легитимные элементы известных библиотек.
Самая опасная часть — это выполнение вредоносной цепочки, которая запускается одной скопированной командой. Она может привести к заражению различными вредоносными программами: от инфостилеров и удалённого доступа до загрузчиков новых угроз. Именно гибкость и способность адаптироваться позволили ClickFix быстро выйти на передний план среди атакующих схем.
ClickFix — эволюция схемы ClearFake , которая ранее паразитировала на скомпрометированных сайтах WordPress через поддельные окна обновления браузера и доставку вредоносных программ. Впоследствии эти атаки включили такие методы обхода, как EtherHiding, чтобы скрывать опасные полезные нагрузки внутри смарт-контрактов Binance Smart Chain.
По мере развития, ClickFix показал, как угрозы становятся не только технически совершенными, но и психологически изощрёнными. Мошенники вкладывают значительные ресурсы, чтобы сделать свои атаки практически неотличимыми от обычных рабочих сценариев: они используют обфускацию, динамическую подгрузку, внедрение во внешне безопасные файлы и интеграцию с легитимными платформами, чтобы скрыться от защитных механизмов.