kyberbezpečnost

ClickFix

Jaké jsou bezpečnostní rizika útoku a jak se bránit.

Tom
clickfix

https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/

Pozor na „ClickFix“ – novou techniku sociálního inženýrství

V posledním roce výzkumníci Microsoftu z Microsoft Threat Intelligence a Microsoft Defender Experts zaznamenali nárůst kampaní používajících techniku označovanou jako ClickFix. Microsoft Tato metoda cílí na uživatele i podniky napříč platformami (Windows i macOS) a umožňuje útočníkům obejít běžné bezpečnostní mechanismy tím, že přimějí uživatele, aby spustil škodlivé příkazy sám.

Co je to ClickFix a jak funguje

Tato technika spočívá v tom, že útočník vytvoří podvodnou situaci — například falešný dialog nebo webovou stránku, která žádá uživatele o „ověření“, „opravný krok“ či „kliknutí“ — a následně ho vyzve ke kopírování a vložení příkazu do nástroje jako je dialog „Spustit“, „Windows Terminal“ nebo „PowerShell“.

Důležité aspekty techniky:

  • Útočník mlčí o tom, že uživatel spouští příkaz, který umožní stažení a instalaci škodlivého kódu.
  • Metoda spoléhá na lidský faktor — běžná ochrana může být zasažena, pokud uživatel jedná sám a klikne či vloží příkaz.
  • Cílem může být krádež dat, instalace trojského programu, RAT (remote access tool) či rootkitu.

    • Jak vypadá typický útok

    1) Příchozí vektor

    Útočníci využívají různé metody pro první kontakt:

  • Phishingové e-maily – zprávy s přílohou nebo odkazem, které tvrdí, že například „má být problém s fakturou“ či „ověření účtu“.
  • Malvertising – reklamy či stránky, které prostřednictvím kliknutí přesměrují na podvodnou stránku.
  • Drive-by kompromisy – napadení legitimních webových stránek, které uživatele přesměrují na falešný ověřovací dialog.

    • 2) Falešný ověřovací proces (the click)

    Uživatel je přesměrován na stránku, která může napodobovat například CAPTCHA, službu pro ověření, nebo jiný systémový dialog. Po kliknutí či interakci je kopírován příkaz do schránky a uživatel vyzván k jeho vložení do systému.

    3) Spuštění škodlivého kódu

    Po vložení a spuštění příkazu uživatele je stažen a spuštěn škodlivý kód – v minulosti například infostealer Lumma Stealer, nebo RAT-programy jako Xworm či Latrodectus. Tento škodlivý kód může být spuštěn pomocí „living-off-the-land“ nástrojů (LOLBins) jako msbuild.exe, rundll32.exe nebo powershell.exe – což ztěžuje detekci.

    4) Rozšíření a perzistence

    Po spuštění může škodlivý kód pokračovat: provede rekognoskaci systému, schová se, stahuje další moduly, mohou být zakládány trvalé úlohy (Scheduled Task), změny v registru, …. V jednom popsaném případě kampaň nazvaná „Lampion“ probíhala od května 2025 a zasahovala více zemí.

    Dopady a proč je technika nebezpečná

  • Protože uživatel sám spustí příkaz, tradiční ochrana typu antimalwaru nebo automatické sandboxy mohou být méně účinné – útočník využívá element „kliknutí“ a interakce člověka.
  • Skripty a kódy jsou často obfuskované, načítány z různých zdrojů a využívají techniky pro obcházení ochrany.
  • Cíleny jsou jak podnikové prostředí, tak běžní uživatelé.
  • Technologie se rozšířila i mimo Windows – v červnu 2025 byla zaznamenána kampaň využívající ClickFix na macOS zařízení (např. s malwarem AMOS) .

    • Doporučení, co dělat, aby se organizace i jednotlivci ochránili

  • Vzdělávání uživatelů – ujasněte jim, že kliknutí či spouštění příkazů na základě e-mailu či webové stránky je rizikové. Ne každý dialog „ověření“ je legitimní.
  • Filtrovat e-maily a odkazy – zabezpečit nastavení pro filtrovaní phishingových e-mailů, blokování podezřelých Domén, kontrola odkazů při kliknutí.
  • Zabezpečení prohlížeče a webu – využití spravovaného prohlížeče (enterprise-managed browser), aktivace ochranných mechanismů, blokování automatického spuštění pluginů.
  • Omezení nástrojů a funkcí v systému – například zakázat dialog „Spustit“ (Win + R), omezit práva spouštět nativní binárky, zavést politiky pro App Control.
  • Záznam a monitoring – povolit logování skriptů (Windows PowerShell script-block logging), sledovat RunMRU klíče v registru pro podezřelé běhy.
  • Pokročilá ochrana – pokud organizace používá například Microsoft Defender XDR či jiné EDR/XDR řešení, využít jeho schopnosti detekce pro tento typ útoku.

    • Závěr

    Technika ClickFix představuje další krok v evoluci sociálního inženýrství – spoléhá se na uživatele, že udělá chybu tím, že spustí příkaz sám, místo aby jedině útočník vnikl tajně. Vzhledem ke své jednoduchosti a účinnosti je nutné, aby jak běžní uživatelé, tak organizace zvýšili svou bdělost.

    Zpět na blog

    Související příspěvky