Așa-numitele atacuri ClickFix sau ClearFake, care ocolesc controalele de securitate și folosesc victime neștiutoare pentru a executa un atac cibernetic de bunăvoie, sunt în creștere la sfârșitul anului 2025, depășind chiar atacurile de phishing sau clickjacking, potrivit celui mai recent raport lunar privind amenințările al NCC Group.
Identificate pentru prima dată acum câțiva ani, atacurile ClickFix au inundat peisajul amenințărilor în 2024, iar volumul lor a crescut cu peste 500% în primele șase luni ale anului 2025, a declarat NCC.
În loc să se bazeze pe exploit-uri automate sau atașamente rău intenționate, atacurile ClickFix exploatează vulnerabilitatea umană, convingându-și țintele să execute manual atacuri folosind instrumente precum PowerShell, Windows Run box sau alte utilitare shell, după ce le atrag către site-uri web compromise, promițând solicitări false care le instruiesc să copieze o comandă în dialogul lor Run sau în fereastra PowerShell.
NCC a declarat că astfel de atacuri reprezintă o schimbare semnificativă în ingineria socială, deoarece victimele acționează în întregime în mod voluntar – acest lucru este în contrast cu atacurile de tip phishing în care înșelăciunea se termină odată ce au fost trimise acreditările sau cu clickjacking-ul, în care victimele se angajează fără să știe.
„Această schimbare pune la îndoială modelele tradiționale de detectare, deoarece comanda provine dintr-un proces de utilizator de încredere, mai degrabă decât dintr-un lanț de descărcare sau exploatare nesigur”, a scris echipa NCC. „Înțelegerea și atenuarea atacurilor ClickFix sunt cruciale, deoarece pot ocoli apărările convenționale”, au spus ei. „Filtrele de e-mail, sandboxing-ul și analizoarele automate de URL nu pot semnala întotdeauna o acțiune rău intenționată efectuată manual de un utilizator final. Odată ce sarcina utilă este executată, atacatorii pot implementa RAT-uri, permițând persistența, recoltarea acreditărilor și, în cele din urmă, implementarea ransomware.”
Infractorii cibernetici motivați financiar s-au urcat rapid la bordul ClickFix, mulți dintre ei operând în ecosisteme mai mari de brokeraj de acces pentru a vinde endpoint-uri compromise către bande de ransomware.
Raportul detaliază o serie de astfel de operațiuni ClickFix direcționate. O campanie, activă din aprilie 2025 până acum doar câteva luni, a vizat sectorul ospitalității și i-a păcălit pe angajați să răspândească malware infostealer în mai multe lanțuri hoteliere. Această campanie a folosit troianul de acces la distanță PureRAT (RAT) pentru a fura acreditările Booking.com ale hotelurilor și a efectua atacuri de phishing prin e-mail și WhatsApp împotriva oaspeților.
O altă campanie, condusă de Kimsuky, un actor de amenințare de stat nord-coreean, și-a determinat victimele să copieze și să lipească coduri de autentificare false în PowerShell după ce s-au dat drept consilier de securitate națională al SUA care încerca să organizeze întâlniri pe teme sud-coreene.
Apărarea împotriva atacurilor ClickFix constă în mare măsură în încercarea de a reduce expunerea unei organizații la atacuri rău intenționate și site-uri de destinație înșelătoare prin încorporarea de instrumente precum filtrarea URL-urilor, controalele reputației domeniului, filtrarea web și sandboxing-ul.
Consolidarea mediilor de execuție la nivel de endpoint este, de asemenea, o necesitate, la fel ca și consolidarea conștientizării utilizatorilor și instruirea tuturor angajaților să trateze orice instrucțiune de copiere-lipire nesolicitată ca o tentativă de atac cibernetic.
Creșterea atacurilor ClickFix a avut loc pe fondul unei stagnări a volumelor generale de atacuri cibernetice în ultimele săptămâni, cu o scădere de 2% a accesărilor ransomware urmărite în noiembrie, a constatat NCC.
Operațiunea Qilin s-a menținut ferm ca cea mai activă bandă observată în telemetria NCC, reprezentând 101 atacuri, urmată de Cl0p cu 98, Akira cu 81 și INC Ransom cu 49.
De asemenea, notabilă în noiembrie a fost banda DragonForce – NCC i-a atribuit 19 atacuri în această perioadă, deși a revendicat mult mai multe – care a devenit una dintre cele mai importante bande cibernetice active în acest an datorită dependenței sale de colaborarea cu afiliați extrem de calificați, printre care Scattered Spider, colectivul de hackeri care a atacat Marks & Spencer, printre mulți alții.
Deși colaborarea dintre actorii de amenințare nu este o noutate, NCC a declarat că activitatea DragonForce a arătat cum bandele pot maximiza astfel de strategii pentru a-și consolida capacitățile.
Acestea fiind spuse, în același timp, DragonForce a lovit puternic și conceptul de onoare printre hoți. În luna mai, a fost observată piratarea și deturnarea site-urilor de scurgeri de date ale bandelor rivale și, la un moment dat, a inițiat o ofertă de preluare ostilă a echipei RansomHub.
NCC a declarat că această competitivitate ar putea reflecta reducerea barierelor tehnice în calea participării la ecosistemul infracțiunilor cibernetice. Atacarea concurenților, a sugerat acesta, ar putea face parte dintr-o strategie de descurajare pentru a împiedica noii veniți să se impună.
„Liderii de afaceri nu își pot permite să se complacă”, a declarat Matt Hull, directorul global al departamentului de informații despre amenințări la NCC. „Grupurile de amenințare evoluează rapid, își împărtășesc instrumente și tehnici și exploatează deja perioada festivă, când vigilența scade adesea.
„Odată cu noua lege privind securitatea cibernetică și reziliența și breșele de securitate de mare profil de la M&S, Co-op și JLR [Jaguar Land Rover] din acest an, organizațiile sunt supuse unei examinări tot mai atente pentru a demonstra că au implementate apărări robuste și planuri de răspuns la incidente”, a adăugat el.
„Pe măsură ce se apropie sărbătorile, este mai important ca niciodată să fim vigilenți la activitățile suspecte și să consolidăm postura de securitate.”
