ClickFix staje się ulubioną techniką dostarczania malware przez cyberprzestępców - Security Bez Tabu

ClickFix staje się ulubioną techniką dostarczania malware przez cyberprzestępców

Cybersecurity news

Wprowadzenie do problemu / definicja

ClickFix to technika socjotechniczna, której celem jest nakłonienie użytkownika do samodzielnego uruchomienia złośliwego polecenia w zaufanym środowisku systemowym. Zamiast wykorzystywać klasyczne łańcuchy exploitów lub automatyczne pobieranie plików, atakujący podsuwają ofierze fałszywy komunikat o błędzie, problemie z przeglądarką, weryfikacji CAPTCHA albo konieczności naprawy systemu.

Kluczowym elementem tej metody jest przeniesienie części wykonania ataku na użytkownika. Ofiara otrzymuje instrukcję skopiowania i wklejenia przygotowanej komendy do okna Uruchom, PowerShell, Windows Terminal lub innego natywnego narzędzia systemowego, co znacząco zwiększa skuteczność kampanii i utrudnia wykrycie incydentu.

W skrócie

ClickFix wyrósł na jedną z najważniejszych technik początkowego dostępu i dostarczania malware. Mechanizm ten jest prosty, tani we wdrożeniu i bardzo skuteczny, ponieważ wykorzystuje zaufanie użytkownika do legalnych komponentów systemu operacyjnego.

  • pozwala ominąć część zabezpieczeń nastawionych na wykrywanie automatycznych exploitów,
  • jest wykorzystywany do dystrybucji infostealerów, RAT-ów, loaderów i ransomware,
  • dobrze skaluje się w kampaniach opartych na malvertisingu i przejętych stronach WWW,
  • coraz częściej występuje w modelu usługowym, obniżając próg wejścia dla cyberprzestępców.

Kontekst / historia

Dynamiczny wzrost popularności ClickFix przypadł na lata 2024–2026, gdy operatorzy zagrożeń zaczęli odchodzić od bardziej złożonych łańcuchów infekcji na rzecz prostszych i tańszych metod socjotechnicznych. Ta zmiana wpisuje się w szerszy trend upraszczania początkowego dostępu, przy jednoczesnym zachowaniu wysokiej skuteczności wobec użytkowników końcowych.

Na popularność tej techniki wpłynęły przede wszystkim niski koszt wdrożenia, możliwość łatwego osadzania jej na legalnych, lecz przejętych stronach internetowych, a także użycie w kampaniach reklamowych i fałszywych stronach pomocy technicznej. Według danych telemetrycznych ESET wykrycia związane z ClickFix i FakeCaptcha wzrosły o 517% między drugą połową 2024 roku a pierwszą połową 2025 roku.

Z czasem technika przestała być postrzegana jako incydentalna sztuczka socjotechniczna. W 2026 roku zaczęła funkcjonować jako dominujący mechanizm dostarczania złośliwego oprogramowania w wielu kampaniach, obejmując nie tylko cyberprzestępców nastawionych na zysk, ale również bardziej zaawansowanych operatorów korzystających z gotowych frameworków i usług wspierających masowe operacje.

Analiza techniczna

Atak ClickFix zazwyczaj rozpoczyna się od przekierowania użytkownika na złośliwą stronę lub od osadzenia spreparowanego skryptu w skompromitowanym serwisie. Użytkownik widzi komunikat imitujący alert bezpieczeństwa, awarię przeglądarki, kontrolę antybotową lub błąd renderowania dokumentu. Interfejs jest projektowany tak, aby wywołać presję i skłonić do szybkiego działania.

Następnie ofiara otrzymuje instrukcję uruchomienia komendy, zwykle przez PowerShell, okno Uruchom albo Windows Terminal. To podejście pozwala atakującemu użyć legalnych narzędzi systemowych jako nośnika infekcji i ograniczyć liczbę artefaktów, które mogłyby zostać wykryte przez tradycyjne mechanizmy ochrony oparte na reputacji plików lub analizie podejrzanych pobrań.

  • omijanie części zabezpieczeń skoncentrowanych na automatycznym pobieraniu plików,
  • wykorzystanie zaufania do natywnych komponentów systemu,
  • mniejsza widoczność dla klasycznych filtrów webowych,
  • możliwość dynamicznej zmiany końcowego ładunku bez przebudowy całej kampanii.

W praktyce ClickFix nie jest konkretnym malware, lecz warstwą dostarczenia i uruchomienia. Po wykonaniu polecenia użytkownik może pobrać loader, który następnie ściąga kolejne komponenty. W obserwowanych kampaniach technika ta była używana do dystrybucji infostealerów, narzędzi zdalnego dostępu, komponentów post-exploitation, kryptominerów oraz ładunków powiązanych z operatorami ransomware.

Nowoczesne warianty tej metody nie ograniczają się do jednego schematu. Badacze opisywali odsłony wykorzystujące fałszywe rozszerzenia przeglądarki, kampanie malvertisingowe, przejęte strony WordPress oraz niestandardowe ścieżki uruchamiania poleceń z użyciem legalnych narzędzi systemowych. Rozwój modelu ClickFix-as-a-Service dodatkowo zwiększa skalę zagrożenia.

Konsekwencje / ryzyko

Największym zagrożeniem związanym z ClickFix jest obejście modelu bezpieczeństwa zakładającego, że użytkownik nie będzie ręcznie wykonywał niezaufanych poleceń. W środowisku firmowym pojedyncza interakcja może doprowadzić do pełnego naruszenia bezpieczeństwa stacji roboczej, a następnie do eskalacji incydentu w całej organizacji.

  • kradzież poświadczeń zapisanych w przeglądarkach i menedżerach haseł,
  • przejęcie sesji oraz tokenów uwierzytelniających,
  • instalacja trwałego dostępu zdalnego,
  • ruch boczny w sieci i rozpoznanie środowiska,
  • wdrożenie ransomware lub sabotażu operacyjnego.

Technika ta jest szczególnie niebezpieczna, ponieważ wykorzystuje legalne ścieżki administracyjne i często nie wymaga uruchamiania klasycznego pliku wykonywalnego z podejrzanego źródła. To utrudnia wykrywanie oparte wyłącznie na sygnaturach, reputacji plików i prostych politykach filtrowania treści internetowych.

Z perspektywy zespołów SOC i IR dodatkowym problemem jest tempo eskalacji. Jeśli pierwszym ładunkiem jest infostealer lub lekki loader, przeciwnik może bardzo szybko przejąć dane uwierzytelniające, uzyskać wiedzę o środowisku i rozpocząć dalsze działania z użyciem legalnych kont oraz narzędzi administracyjnych.

Rekomendacje

Organizacje powinny traktować ClickFix jako odrębną klasę zagrożenia łączącą phishing, malvertising, złośliwe skrypty i nadużycie narzędzi systemowych. Ochrona wymaga połączenia kontroli technicznych, monitoringu zachowań oraz konsekwentnego podnoszenia świadomości użytkowników.

  • blokowanie lub ścisłe monitorowanie uruchomień PowerShell, cmd, Windows Terminal i okna Uruchom z nietypowych kontekstów,
  • wdrożenie reguł EDR/XDR wykrywających sekwencje copy-paste prowadzące do pobierania zdalnych ładunków,
  • ograniczenie użycia interpreterów skryptowych i narzędzi LOLBins zgodnie z zasadą najmniejszych uprawnień,
  • monitorowanie procesów potomnych uruchamianych z przeglądarek, klientów pocztowych i komunikatorów,
  • inspekcja połączeń sieciowych inicjowanych przez skrypty i narzędzia administracyjne,
  • wzmacnianie ochrony stron WWW organizacji, zwłaszcza CMS-ów i wtyczek,
  • szkolenia użytkowników podkreślające, że legalny serwis nie powinien wymagać wklejania komend do PowerShell ani okna Uruchom w celu naprawy strony.

W obszarze detekcji warto opracować playbooki reagowania dla zdarzeń obejmujących nietypowe uruchomienia PowerShell, użycie schowka poprzedzające wykonanie komendy, połączenia z infrastrukturą C2 po interakcji webowej oraz pojawienie się mechanizmów persistence po odwiedzeniu strony.

Jeśli dojdzie do incydentu, priorytetem powinno być natychmiastowe odizolowanie hosta, reset poświadczeń użytkownika, unieważnienie aktywnych sesji, analiza pamięci oraz przegląd aktywności przeglądarkowej i wykorzystanych tokenów uwierzytelniających.

Podsumowanie

ClickFix nie jest pojedynczym malware, lecz wyjątkowo skuteczną techniką dostarczenia, która wykorzystuje człowieka jako ostatni element łańcucha wykonania. To właśnie ta cecha sprawia, że metoda stała się tak atrakcyjna dla współczesnych cyberprzestępców.

Łączy prostotę, niski koszt, skalowalność i zdolność do omijania części tradycyjnych zabezpieczeń. W praktyce oznacza to, że organizacje muszą rozszerzyć model obrony nie tylko o wykrywanie złośliwych plików i ruchu sieciowego, ale również o kontrolę zachowań użytkownika, nadużyć legalnych narzędzi systemowych oraz nowoczesnych technik socjotechnicznych.

Źródła

  1. https://www.infosecurity-magazine.com/news/clickfix-cybercriminals-favorite/
  2. https://www.eset.com/pl/about/newsroom/press-releases/news/eset-threat-report-za-1-polrocze-2025-znaczny-wzrost-liczby-atakow-z-wykorzystaniem-falszywych-komunikatow-o-bledach-clickfix/
  3. https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/
  4. https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/
  5. https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix