Globalna kampania ClickFix na przejętych stronach WordPress dostarcza infostealery

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

ClickFix to technika socjotechniczna, w której przestępcy nakłaniają ofiarę do samodzielnego uruchomienia złośliwego polecenia pod pozorem wykonania naprawy, weryfikacji lub potwierdzenia bezpieczeństwa. W opisywanej kampanii wykorzystano przejęte strony oparte na WordPressie, aby wyświetlać fałszywe ekrany CAPTCHA przypominające legalne mechanizmy ochronne i kierować użytkowników do uruchomienia komendy PowerShell.

Celem ataku jest dostarczenie infostealerów, czyli złośliwego oprogramowania kradnącego hasła, ciasteczka sesyjne, dane autouzupełniania, informacje o portfelach kryptowalutowych oraz inne wrażliwe dane. To sprawia, że nawet pojedyncza interakcja użytkownika z fałszywym komunikatem może prowadzić do przejęcia kont i dalszej kompromitacji środowiska.

W skrócie

Badacze opisali globalną operację obejmującą ponad 250 przejętych witryn internetowych w co najmniej 12 krajach. Zamiast korzystać z nowych, podejrzanych domen, operatorzy kampanii osadzili złośliwe komponenty na legalnych stronach WordPress, zwiększając wiarygodność ataku i szansę na skuteczną infekcję.

Po wejściu na zainfekowaną witrynę użytkownik widzi fałszywy ekran weryfikacji, który imituje zabezpieczenia przeglądarkowe. Następnie otrzymuje instrukcję skopiowania i uruchomienia polecenia PowerShell, co uruchamia wieloetapowy łańcuch infekcji prowadzący do wdrożenia infostealerów, takich jak Vidar, Impure Stealer oraz VodkaStealer.

Ponad 250 przejętych stron WordPress
Co najmniej 12 krajów objętych kampanią
Fałszywe CAPTCHA jako element socjotechniki
PowerShell uruchamiany ręcznie przez ofiarę
Wielostopniowe dostarczanie infostealerów

Kontekst / historia

Popularność techniki ClickFix znacząco wzrosła w 2025 roku i obecnie jest ona uznawana za jeden z najszybciej rozwijających się modeli dostarczania malware. Jej siła nie wynika z wykorzystania klasycznej luki technicznej, lecz z umiejętnego manipulowania użytkownikiem, który sam wykonuje złośliwe polecenie, wierząc, że rozwiązuje problem lub przechodzi rutynową weryfikację.

W tej kampanii szczególnie istotny jest wybór nośnika infekcji. Przestępcy nie kierowali ruchu na świeżo zarejestrowane domeny, lecz umieszczali złośliwe skrypty na działających, legalnych serwisach. Taki model podnosi skuteczność operacji, ponieważ użytkownicy znacznie częściej ufają stronie lokalnej firmy, organizacji czy medium niż nieznanej domenie o podejrzanym wyglądzie.

Z ustaleń badaczy wynika, że kampania w tej formie działała od grudnia 2025 roku, a część infrastruktury była aktywna już latem 2025 roku. To sugeruje stopniowe rozwijanie operacji i testowanie skuteczności poszczególnych elementów łańcucha dostaw malware.

Analiza techniczna

Atak rozpoczyna się od odwiedzenia skompromitowanej strony WordPress. Złośliwy komponent JavaScript ładowany w tle wyświetla fałszywy ekran CAPTCHA i przygotowuje mechanizm kopiowania polecenia do schowka. Komunikaty były lokalizowane językowo i obejmowały co najmniej 31 języków, co wskazuje na międzynarodowy zasięg oraz dobrze przygotowaną operację.

Kluczowym momentem jest ręczne uruchomienie przez ofiarę polecenia PowerShell. To działanie uruchamia stager pobierający kolejne komponenty z infrastruktury kontrolowanej przez atakujących. W dalszych etapach malware korzysta z wykonywania kodu w pamięci oraz z interfejsów Windows API, takich jak VirtualAlloc i CreateThread, aby ograniczyć liczbę artefaktów pozostawianych na dysku i utrudnić detekcję.

Następnie pobierany shellcode uruchamia kolejny etap infekcji. Badacze opisali loader określany jako DoubleDonut, który wykorzystuje dwa następujące po sobie etapy shellcode do pobrania, rozpakowania i wstrzyknięcia finalnego ładunku do procesu systemowego, takiego jak svchost.exe. Taki sposób działania pozwala ukryć aktywność malware w kontekście legalnego procesu i utrudnia analizę incydentu.

Finalne payloady obejmowały kilka rodzin złośliwego oprogramowania. Wśród nich znalazł się wariant Vidar Stealer, niezidentyfikowany wcześniej komponent .NET nazwany Impure Stealer oraz nowy stealer napisany w C++, określany jako VodkaStealer. Zestaw ten wskazuje na elastyczny model operacyjny, w którym operatorzy dobierają ładunek zależnie od celu lub etapu kampanii.

Konsekwencje / ryzyko

Największe zagrożenie wynika z połączenia trzech elementów: wykorzystania zaufanej witryny, skutecznej socjotechniki oraz bezplikowego uruchamiania kodu. Dla użytkownika oznacza to, że kontakt ze złośliwym mechanizmem może nastąpić nawet podczas odwiedzania pozornie legalnej i znanej strony internetowej.

Dla organizacji skutki mogą być bardzo poważne. Infostealery przechwytują zapisane hasła, tokeny sesyjne, dane przeglądarek, informacje o portfelach kryptowalutowych i inne artefakty umożliwiające dalszy dostęp do systemów. W praktyce może to prowadzić do przejęcia kont firmowych, kompromitacji skrzynek pocztowych, dostępu do paneli administracyjnych, naruszenia środowisk VPN, a w dalszej kolejności do oszustw finansowych, wycieku danych lub wdrożenia ransomware.

Ryzyko dotyczy również właścicieli przejętych witryn WordPress. Jeżeli legalny serwis staje się elementem łańcucha dystrybucji malware, organizacja naraża się nie tylko na incydent bezpieczeństwa, lecz także na utratę reputacji, spadek zaufania klientów oraz potencjalne konsekwencje prawne i regulacyjne.

Rekomendacje

Organizacje powinny potraktować tę kampanię jako sygnał do jednoczesnego wzmocnienia ochrony użytkowników końcowych, stacji roboczych oraz warstwy webowej. Szczególnie ważne jest ograniczenie możliwości uruchamiania poleceń systemowych z kontekstu przeglądarki i monitorowanie nietypowych zachowań związanych z PowerShellem.

Blokować lub ściśle monitorować uruchamianie PowerShell z kontekstu przeglądarki i schowka
Wdrażać reguły wykrywające użycie poleceń takich jak iex, irm i iwr
Monitorować wywołania API związane z alokacją pamięci i uruchamianiem wątków
Stosować rozwiązania EDR lub XDR zdolne do wykrywania zachowań bezplikowych
Szkolić użytkowników, aby nigdy nie uruchamiali poleceń prezentowanych przez strony internetowe

Po stronie administracji WordPress kluczowe znaczenie mają szybkie aktualizacje i kontrola integralności środowiska. Właściciele witryn powinni regularnie analizować pliki, skrypty osadzone na stronach, logi serwera oraz wszelkie nietypowe zmiany w konfiguracji i uprawnieniach.

Aktualizować rdzeń WordPressa, motywy i wtyczki bez zbędnej zwłoki
Weryfikować integralność plików oraz obecność nieautoryzowanych skryptów i iframe’ów
Wdrożyć MFA do paneli administracyjnych, hostingu i kont uprzywilejowanych
Ograniczyć możliwość edycji plików aplikacji z poziomu panelu administracyjnego
Analizować logi pod kątem nowych kont administratorów i podejrzanych żądań POST
Korzystać z WAF oraz skanowania malware po stronie hostingu

Jeżeli doszło do kompromitacji, samo usunięcie złośliwego kodu ze strony nie wystarczy. Należy przeprowadzić rotację haseł administracyjnych, sprawdzić systemy powiązane, przeanalizować logi pod kątem trwałości dostępu oraz poinformować użytkowników, którzy mogli wejść w interakcję z fałszywym ekranem CAPTCHA.

Podsumowanie

Opisana kampania pokazuje, że ClickFix przestał być niszową techniką socjotechniczną i stał się dojrzałym modelem dostarczania malware na szeroką skalę. Wykorzystanie przejętych stron WordPress znacząco zwiększa wiarygodność ataku, a wieloetapowy łańcuch z wykonaniem kodu w pamięci utrudnia wykrywanie i analizę.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: ochrona musi obejmować zarówno użytkownika końcowego i jego nawyki, jak i przeglądarkę, PowerShell, procesy systemowe oraz samą warstwę aplikacji webowej. Żadna legalnie wyglądająca strona nie powinna skłaniać użytkownika do ręcznego uruchamiania poleceń systemowych.