Malware ClickFix: Podvodná CAPTCHA krade hesla

ClickFix je sofistikovaný sociální inženýrský trik, který hackeři od začátku roku 2024 stále častěji využívají k šíření malwaru. Oklamává uživatele k provedení škodlivých příkazů na jejich vlastních počítačích. Útočníci se snaží pod záminkou ověření, že uživatel není bot, přimět oběti ke stisknutí série klávesových zkratek, čímž instalují malware kradoucí hesla.

Boty jsou automatizované počítačové programy provádějící online opakující se úkony a napodobující lidské chování. Zneužitím neporozumění uživatelů těmto systémům, hackeři je úspěšně infikují malwarem.

Podle KrebsOnSecurity nejnovější kampaň ClickFix klame uživatele instalací softwaru kradoucího hesla pod rouškou běžného testu „Ověřte, že jste člověk“. Původně zaměřená na specifické cíle, se nyní rozšířila do hlavního proudu a postihuje odvětví jako pohostinství a zdravotnictví.

Podvod začíná návštěvou napadené nebo škodlivé webové stránky s falešným promptem typu CAPTCHA. Kliknutím na tlačítko „Nejsem robot“ se spustí série instrukcí vyžadujících stisknutí specifických klávesových zkratek. Nejprve je uživatel vyzván ke stisknutí Windows + R (otevření dialogu Spustit), poté CTRL + V (vložení škodlivého skriptu z virtuální schránky webu). Stisknutím Enter se skript spustí, stáhne a spustí malware.

Kyberzločinci šíří ClickFix pomocí phishingových e-mailů a škodlivých webů. Silně zasažené je pohostinství, kde útočníci napodobují Booking.com a posílají falešné e-maily s odkazy na recenze hostů nebo propagace. Kliknutím na odkazy se uživatel dostane do pasti ClickFix. Zasaženi byli také zdravotničtí pracovníci, s škodlivým kódem vloženým do široce používané fyzioterapeutické stránky HEP2go.

Po instalaci ClickFix na PC se nainstaluje různé malware, včetně kradení hesel jako XWorm, Lumma Stealer a DanaBot, které extrahují přihlašovací údaje a finanční informace. Některé verze doručují trojany s dálkovým přístupem jako VenomRAT a AsyncRAT, poskytující útočníkům plnou kontrolu nad systémem. Další nasazují NetSupport RAT, nástroj pro dálkový přístup běžně zneužívaný pro kyberšpionáž.

Výzkumníci v oblasti bezpečnosti se domnívají, že ClickFix cílí na uživatele od března 2024. V červnu 2024 se malware předstíral chyby Google Chrome, Word a OneDrive, aby přiměl uživatele ke stažení škodlivého kódu. Stejně jako v současné kampani, útočníci vyzvali oběti ke kliknutí na tlačítko, které zkopírovalo opravu PowerShellu do schránky, a následnému vložení a spuštění v dialogovém okně Spustit nebo v okně PowerShell.

Do listopadu 2024 útočníci rozšířili své cíle na uživatele Google Meet. Podvod začal e-mailem s odkazem na relaci Google Meet, často maskovanou jako komunikace od organizace oběti. Odkaz vedl k pozvánce na schůzku, webinar nebo online spolupráci. Kliknutím se uživatel dostal na falešnou stránku Google Meet s varováním o problémech s PC (mikrofon, kamera, sluchátka).

Útok se objevil i na falešných stránkách s chybami Chrome a výzvami k přihlášení na Facebooku, čímž se malware rozšířil na různé platformy.

Ochrana před ClickFix:

1. Buďte skeptičtí k výzvám CAPTCHA: Legitimní CAPTCHA nikdy nevyžaduje stisknutí Windows + R, kopírování příkazů nebo vkládání čehokoli do PowerShellu. Pokud web něco takového požaduje, jedná se o podvod. Okamžitě zavřete stránku.
\n
2. Neklikejte na odkazy z neověřených e-mailů a používejte silný antivirový software: Mnoho útoků ClickFix začíná phishingovými e-maily napodobujícími důvěryhodné služby. Vždy ověřte odesílatele před kliknutím na odkazy. Pokud se e-mail jeví jako naléhavý nebo nečekaný, přejděte přímo na oficiální webovou stránku firmy.
\n
3. Povolte dvoufaktorové ověřování: Přidejte další vrstvu zabezpečení vyžadováním druhého ověřovacího kroku (např. kód z telefonu).
\n
4. Udržujte zařízení aktualizovaná: Pravidelné aktualizace operačního systému, prohlížeče a bezpečnostního softwaru chrání před známými zranitelnostmi.
\n
5. Monitorujte své účty a měňte hesla: Pokud jste interagovali s podezřelým webem, phishingovým e-mailem nebo falešnou přihlašovací stránkou, zkontrolujte své účty na podezřelé aktivity.
\n
6. Investujte do služby pro odstraňování osobních údajů: Služby monitorují vaše osobní informace a upozorní vás na potenciální narušení nebo neoprávněné použití vašich dat.

ClickFix připomíná, že malware se nemusí spoléhat na komplexní exploity. Často stačí, aby uživatel následoval nesprávné instrukce. Útočníci zdokonalují své metody, takže podvody jako falešné CAPTCHA, phishingové e-maily a klamavé vyskakovací okna jsou přesvědčivější než kdykoli předtím. Nejlepším způsobem, jak jim čelit, je zpochybnit cokoli, co se zdá byť jen trochu podezřelé.