ClickFix, η τεχνική κοινωνικής μηχανικής που παρακάμπτει τα αντίμετρα

Το ClickFix εμφανίστηκε το 2024 και εξελίσσεται γρήγορα. Η ιδέα είναι απλή και καταστροφική. Ιστότοποι παρουσιάζουν ψεύτικες ειδοποιήσεις ή «επαληθεύσεις» και καθοδηγούν τον χρήστη να αντιγράψει και να επικολλήσει μια εντολή στο σύστημά του, συνήθως στο PowerShell ή στο Terminal. Με το πάτημα του Enter, κατεβαίνει και εκτελείται κακόβουλο φορτίο, χωρίς εμφανές αρχείο στον δίσκο, κάτι που δυσκολεύει την αυτόματη ανίχνευση.

Οι αλυσίδες επίθεσης ξεκινούν με ηλεκτρονικό ψάρεμα (phishing), κακόβουλες διαφημίσεις (malvertising) ή παραβιασμένους ιστότοπους. Οι σελίδες-δόλωμα μιμούνται σφάλματα σε Word και Chrome, ψεύτικες επαληθεύσεις Cloudflare ή reCAPTCHA και μηνύματα υπηρεσιών όπως το Discord. Το κρίσιμο σημείο είναι πως την εκτέλεση την κάνει ο ίδιος ο χρήστης, μειώνοντας την πιθανότητα έγκαιρης ανίχνευσης από EDR (Endpoint Detection and Response, συστήματα ανίχνευσης απειλών). Τα φορτία περιλαμβάνουν infostealers (προγράμματα κλοπής δεδομένων), εργαλεία απομακρυσμένης πρόσβασης και loaders (προγράμματα φόρτωσης κακόβουλου λογισμικού).

Οι δράστες αναβαθμίζουν διαρκώς τις τεχνικές εξαπάτησης. Προσθέτουν βίντεο οδηγιών, μετρητές «επαληθευμένων χρηστών» και αυτόματη ανίχνευση λειτουργικού, ώστε οι οδηγίες να προσαρμόζονται σε Windows, macOS ή Linux. Συχνά, JavaScript αντιγράφει αυτόματα την εντολή στο πρόχειρο για να περιοριστούν λάθη. Η διανομή ενισχύεται με δηλητηρίαση αποτελεσμάτων αναζήτησης (SEO poisoning), διαφημίσεις και επιθέσεις σε πρόσθετα WordPress, που οδηγούν μαζικά ανυποψίαστους χρήστες σε σελίδες προορισμού ClickFix.

Η στόχευση δεν περιορίζεται στα Windows. Υπάρχουν εκστρατείες για macOS με stealer payloads, καθώς και σενάρια που μιμούνται εταιρικές διαδικασίες επαλήθευσης. Σε οικιακά ή προσωπικά περιβάλλοντα ο κίνδυνος είναι άμεσος, επειδή οι σελίδες φαίνονται «νόμιμες» και δεν ζητούν λήψη εκτελέσιμου. Σε οργανισμούς, το ζήτημα κλιμακώνεται όταν προσωπικές συσκευές BYOD (Bring Your Own Device, προσωπικές συσκευές στην εργασία) μολυνθούν και συγχρονίσουν εταιρικά cookies ή διαπιστευτήρια. Επιπλέον, οι δράστες αξιοποιούν LOLBins (Living Off the Land Binaries, νόμιμα εργαλεία συστήματος) για να κρύβουν τη δραστηριότητά τους.

Τι κάνουμε στην πράξη. Υιοθετούμε κανόνα μηδενικής ανοχής: καμία εκτέλεση εντολής που προτείνεται από ιστοσελίδα. Κλείνουμε το tab, καθαρίζουμε το πρόχειρο και επανεκκινούμε τον browser. Αν έγινε ήδη εκτέλεση, αποσυνδέουμε το σύστημα από το δίκτυο και τρέχουμε έλεγχο με ενημερωμένα εργαλεία. Σε εταιρικό πλαίσιο, περιορίζουμε δικαιώματα σε τερματικά, εφαρμόζουμε πολιτικές για το PowerShell, παρακολουθούμε ενδείξεις κατάχρησης LOLBins και ενεργοποιούμε ελέγχους στον browser για ανίχνευση κακόβουλου copy-paste. Η εκπαίδευση χρηστών με ρεαλιστικά παραδείγματα ClickFix είναι απαραίτητη.

Το ClickFix είναι μια μέθοδος που μεταφέρει την εκτέλεση στον άνθρωπο και έτσι ξεφεύγει από τα αντίμετρα. Η κατανόηση της τακτικής και η πειθαρχία σε λίγους απλούς κανόνες μειώνουν δραστικά τον κίνδυνο.