Новый метод кибератак, известный как ClickFix (или FileFix, фальшивая CAPTCHA), набирает популярность и доказывает свою эффективность в обходе традиционных средств контроля безопасности. Механизм атаки заключается в том, что пользователей обманом заставляют скопировать вредоносный код с веб-страницы и запустить его на собственном компьютере. В 99% случаев вредоносный код копируется в буфер обмена скрытно с помощью JavaScript, и пользователь даже не подозревает, что именно он скопировал.
Атака ClickFix активно используется как известными вымогательскими группами, такими как Interlock, так и государственными группами класса Advanced Persistent Threats (APT). Уже зафиксированы успешные взломы с использованием этого метода против таких организаций, как Kettering Health, DaVita, администрация города Сент-Пол в Миннесоте и центры медицинских наук Техасского технического университета.
Успех этого вектора атак обусловлен тремя ключевыми факторами. Первый — неготовность пользователей. В течение последнего десятилетия обучение кибербезопасности было сосредоточено на том, чтобы не переходить по подозрительным ссылкам в электронной почте, не загружать сомнительные файлы и не вводить учетные данные на фишинговых сайтах. Однако пользователей не учили опасаться запуска команд, скопированных с веб-страницы, в локальной командной строке или PowerShell.
Второй фактор — смена вектора доставки. Атаки все чаще проводятся не через электронную почту, а с помощью SEO-отравления и вредоносной рекламы в поисковой выдаче Google. Злоумышленники регистрируют новые домены или взламывают легитимные, создавая сценарии «водопоя» (watering hole). Это позволяет обойти целый слой инструментов защиты электронной почты. В отличие от фишинговых писем, для вредоносных ссылок в поиске Google или в рекламе на сайтах не существует удобной кнопки «пожаловаться на фишинг».
Третий фактор — уклонение от обнаружения на уровне сети и конечных точек. Злоумышленники используют маскировку и ротацию доменов, чтобы опережать черные списки, применяют защиту от ботов для предотвращения автоматического сканирования и сильно обфусцируют (запутывают) содержимое страниц. Вредоносная реклама в Google Ads может быть нацелена на пользователей по географическому положению, домену электронной почты или типу устройства, а сам вредоносный код может не активироваться, если посетитель заходит с мобильной ОС или из определенного диапазона IP-адресов.
Даже передовые системы обнаружения и реагирования на конечных точках (EDR) оказываются ненадежной последней линией обороны. Поскольку вредоносную команду запускает сам пользователь, а не приложение вроде Outlook или Chrome, EDR воспринимает это действие как изолированное и менее подозрительное. Атаке не предшествует загрузка файла из интернета, что также снижает вероятность срабатывания тревоги.
Команды, выполняемые в PowerShell, могут быть запутаны или разделены на несколько этапов, чтобы обойти эвристические правила обнаружения. Телеметрия EDR может зафиксировать факт запуска процесса PowerShell, но без известной «плохой сигнатуры» не пометит событие как вредоносное в реальном времени. Ситуация усугубляется в компаниях, разрешающих использование личных устройств (BYOD), на которых часто отсутствует покрытие EDR, что делает их полностью беззащитными. Таким образом, вся защита сводится к единственной точке отказа.
Стандартные рекомендации, такие как ограничение доступа к диалоговому окну «Выполнить» в Windows, неэффективны. Злоумышленники используют широкий спектр легитимных системных утилит (LOLBINS — Living Off the Land Binaries), а не только распространенные
Будущее этого метода атак может быть связано с его полным переносом в браузер. Злоумышленники могут обманом заставить пользователя вставить вредоносный JavaScript непосредственно в консоль разработчика (devtools) на легитимном сайте. Это позволит им красть учетные данные и сессионные cookie, полностью обходя защиту на конечной точке.
Для противодействия этой угрозе разрабатываются новые подходы. Компания Push Security предлагает решение, основанное на обнаружении вредоносного копирования и вставки на уровне браузера. Такой подход позволяет остановить атаку на самой ранней стадии, независимо от канала доставки или типа вредоносного ПО, и является менее разрушительным для рабочих процессов, чем громоздкие DLP-системы (Data Loss Prevention).
Платформа Push Security способна обнаруживать атаки типа «злоумышленник в середине» (AiTM), подстановку учетных данных, ClickFixing, вредоносные расширения для браузера и перехват сессий. Кроме того, она управляет уязвимостями, выявляя и устраняя «фантомные» логины, пробелы в покрытии SSO и MFA, слабые пароли и рискованные интеграции OAuth.
Изображение носит иллюстративный характер
Атака ClickFix активно используется как известными вымогательскими группами, такими как Interlock, так и государственными группами класса Advanced Persistent Threats (APT). Уже зафиксированы успешные взломы с использованием этого метода против таких организаций, как Kettering Health, DaVita, администрация города Сент-Пол в Миннесоте и центры медицинских наук Техасского технического университета.
Успех этого вектора атак обусловлен тремя ключевыми факторами. Первый — неготовность пользователей. В течение последнего десятилетия обучение кибербезопасности было сосредоточено на том, чтобы не переходить по подозрительным ссылкам в электронной почте, не загружать сомнительные файлы и не вводить учетные данные на фишинговых сайтах. Однако пользователей не учили опасаться запуска команд, скопированных с веб-страницы, в локальной командной строке или PowerShell.
Второй фактор — смена вектора доставки. Атаки все чаще проводятся не через электронную почту, а с помощью SEO-отравления и вредоносной рекламы в поисковой выдаче Google. Злоумышленники регистрируют новые домены или взламывают легитимные, создавая сценарии «водопоя» (watering hole). Это позволяет обойти целый слой инструментов защиты электронной почты. В отличие от фишинговых писем, для вредоносных ссылок в поиске Google или в рекламе на сайтах не существует удобной кнопки «пожаловаться на фишинг».
Третий фактор — уклонение от обнаружения на уровне сети и конечных точек. Злоумышленники используют маскировку и ротацию доменов, чтобы опережать черные списки, применяют защиту от ботов для предотвращения автоматического сканирования и сильно обфусцируют (запутывают) содержимое страниц. Вредоносная реклама в Google Ads может быть нацелена на пользователей по географическому положению, домену электронной почты или типу устройства, а сам вредоносный код может не активироваться, если посетитель заходит с мобильной ОС или из определенного диапазона IP-адресов.
Даже передовые системы обнаружения и реагирования на конечных точках (EDR) оказываются ненадежной последней линией обороны. Поскольку вредоносную команду запускает сам пользователь, а не приложение вроде Outlook или Chrome, EDR воспринимает это действие как изолированное и менее подозрительное. Атаке не предшествует загрузка файла из интернета, что также снижает вероятность срабатывания тревоги.
Команды, выполняемые в PowerShell, могут быть запутаны или разделены на несколько этапов, чтобы обойти эвристические правила обнаружения. Телеметрия EDR может зафиксировать факт запуска процесса PowerShell, но без известной «плохой сигнатуры» не пометит событие как вредоносное в реальном времени. Ситуация усугубляется в компаниях, разрешающих использование личных устройств (BYOD), на которых часто отсутствует покрытие EDR, что делает их полностью беззащитными. Таким образом, вся защита сводится к единственной точке отказа.
Стандартные рекомендации, такие как ограничение доступа к диалоговому окну «Выполнить» в Windows, неэффективны. Злоумышленники используют широкий спектр легитимных системных утилит (LOLBINS — Living Off the Land Binaries), а не только распространенные
mshta и PowerShell. Блокировка всех подобных инструментов может нарушить работу пользователей. Будущее этого метода атак может быть связано с его полным переносом в браузер. Злоумышленники могут обманом заставить пользователя вставить вредоносный JavaScript непосредственно в консоль разработчика (devtools) на легитимном сайте. Это позволит им красть учетные данные и сессионные cookie, полностью обходя защиту на конечной точке.
Для противодействия этой угрозе разрабатываются новые подходы. Компания Push Security предлагает решение, основанное на обнаружении вредоносного копирования и вставки на уровне браузера. Такой подход позволяет остановить атаку на самой ранней стадии, независимо от канала доставки или типа вредоносного ПО, и является менее разрушительным для рабочих процессов, чем громоздкие DLP-системы (Data Loss Prevention).
Платформа Push Security способна обнаруживать атаки типа «злоумышленник в середине» (AiTM), подстановку учетных данных, ClickFixing, вредоносные расширения для браузера и перехват сессий. Кроме того, она управляет уязвимостями, выявляя и устраняя «фантомные» логины, пробелы в покрытии SSO и MFA, слабые пароли и рискованные интеграции OAuth.
