ClickFix devine din ce în ce mai viclean: atacatorii nu se mai mulțumesc cu simple instrucțiuni scrise, ci adaugă clipuri video, contoare și detectare automată a sistemului de operare pentru a convinge victimele să ruleze comenzi periculoase, toate într-un fals „test de verificare” pus pe seama Cloudflare.
Trecutul escrocheriilor de tip inginerie socială e lung, de la emailuri care promiteau actualizări de cont la pagini cu aspect profesional, iar ClickFix reprezintă o versiune modernă și mai rafinată. Cercetătorii Push Security au identificat campanii recente în care atacul imită un CAPTCHA Cloudflare, recunoaște automat dacă folosești Windows, macOS sau Linux și afișează un tutorial video care arată cum să copiezi și să execuți comenzi. În loc de texte plictisitoare, victima vede un ghid aparent convingător, iar comenziile sunt puse automat în clipboard prin JavaScript, reducând astfel probabilitatea unei erori umane. Pentru a presa decizia, apare un contor de tip „utilizatori verificați în ultima oră” și un cronometru de un minut; presiunea determină mulți utilizatori să execute ce li se arată fără să verifice.
De regulă, scopul acestor pagini false este să convingă utilizatorul să ruleze un script care descarcă și lansează un payload, adesea un program ce fură date. În funcție de OS detectat, payload-urile pot fi MSHTA și scripturi PowerShell pe Windows, binare „living-off-the-land” sau alte variante pentru macOS și Linux. Push Security atrage atenția că aceste pagini sunt adesea promovate prin malvertising în Google Search: fie atacatorii compromit site-uri legitime exploatând pluginuri WordPress învechite pentru a injecta JavaScript malițios, fie creează pagini optimizate artificial pentru SEO ca să apară sus în rezultate. Termenul folosit de specialiști, SEO poisoning, descrie exact situația: rezultatele par legitime, dar ascund o capcană.
O evoluție de urmărit este posibilitatea ca viitoare campanii ClickFix să ruleze integral în browser, ocolind astfel multe soluții EDR (endpoint detection and response). Din acest motiv, recomandarea cercetătorilor rămâne valabilă: niciun proces legitim de verificare online nu cere rularea de comenzi în terminalul local; nu copiați și nu executați comenzi decât dacă înțelegeți complet ce fac. Verificați adresa paginii, evitați copierea automată din ferestre suspecte și, dacă aveți îndoieli, închideți tab-ul și căutați surse oficiale.
Exemplul falsului CAPTCHA Cloudflare, al timerului de un minut și al copierii automate în clipboard ilustrează cât de mult s-au perfecționat tacticile: atacatorii combină elemente vizuale familiare, detectarea OS-ului și presiunea temporală pentru a diminua verificarea critică a victimei. Pe termen scurt, asta înseamnă că utilizatorii de Windows, macOS și Linux pot fi vizați prin metode adaptate sistemului lor; pe termen lung, capcanele care rulează în browser pot complica serios apărarea. Ce trebuie reținut: orice fereastră care cere rularea de comenzi trebuie privită cu suspiciune, iar metodele de distribuție, malvertising, site-uri compromise sau pagini optimizate SEO, impun atenție sporită la rezultatele de căutare.
ClickFix arată cum ingineria socială se maschează cu tehnologii familiare pentru a părea legitimă. Vulnerabilitățile exploatate, pluginuri WordPress învechite sau site-uri prost configurate, rămân puncte slabe pe care operatorii le pot remedia; utilizatorii au însă un rol esențial în detectare și prevenire. Dacă folosești un terminal, gândește-te bine înainte să rulezi comenzi luate de pe o pagină web, oricât de convingător ar părea tutorialul.
Falsul CAPTCHA Cloudflare, timerul și videoclipul explicativ sunt elementele care sporesc credibilitatea atacului. Care crezi că ar fi cea mai eficientă metodă de a educa utilizatorii obișnuiți să nu execute comenzi din surse necunoscute?
Fii primul care comentează