Ponedeljek, 1. 12. 2025, 4.00
9 ur, 4 minute
Usodni trije koraki: bo to največja nevarnost leta 2026?
Termometer prikazuje, kako vroč je članek.
Termometer prikaže, kako vroč je članek.
0,03
Okužba prek kibernetskega napada, kot je ClickFix, lahko nič hudega sluteči žrtvi, ki želi zgolj čim prej ukrepati, močno oteži življenje.
Vse več strokovnjakov za informacijsko varnost opozarja na izredno grožnjo, ki jo predstavljajo vedno pogostejši poskusi prikritih okužb osebnih računalnikov, znani pod skupnim imenom ClickFix. Gre za način manipulacije s pozivanjem k nujnemu ukrepanju, s čimer storilci svoje žrtve prepričajo, da si zlonamerne programe na svoje računalnike z zelo kratkim in preprostim postopkom namestijo kar sami. Prav zaradi tega se je proti napadom tipa ClickFix, razen morda z rednim opozarjanjem na nevarnost, zelo težko boriti.
O napadih tipa ClickFix smo na Siol.net poročali že junija 2024, ko mu skupnost strokovnjakov za informacijsko varnost sploh še ni nadela tega imena, saj je šlo za kibernetsko grožnjo, ki je bila takrat še razmeroma nova in ni bila razširjena.
A so se v zadnjem letu dni razmere spremenile. ClickFix je namreč postal ena od največjih rastočih nevarnosti, na vrsto kibernetskega napada, ki lahko postane nočna mora za uporabnika, ki mu nasede, pa je v zadnjih tednih in mesecih opozorilo več znanih podjetij s področja informacijske varnosti, med drugim CrowdStrike, Kaspersky, MalwareBytes, Push Security, Sekoia, Huntress, pa tudi ameriški računalniški velikan Microsoft.
Če kdaj prejmeje takšno opozorilo s pozivom, da na svoj računalnik kopirajte popravek za domnevno napako v programski opremi in jo prilepite kamor koli, ste lahko prepričani, da nekdo poskuša vdreti v vaš računalnik.
Kaj pravzaprav je ClickFix?
Bolj kot čistokrvni kibernetski napad je ClickFix (v prevodu "klikni in popravi") pravzaprav vrsta družbenega inženiringa, saj storilec uporabnika oziroma svojo žrtev s čustveno manipulacijo prepriča, da na svojem računalniku nevede izvrši oziroma zažene programsko kodo, ki vodi do prikrite namestitve zlonamernih programov. Ti so lahko namenjeni kraji podatkov, vohunjenju ali celo popolnemu prevzemu nadzora nad računalnikom.
Trije koraki, ki so za uporabnikove podatke lahko usodni.
Ko potencialna žrtev zaide na spletno stran, ki je izhodišče za prevaro ClickFix, se pojavi sporočilo, ki jo poziva k nujnemu ukrepanju. Na povezavo lahko žrtev najpogosteje naleti z odpiranjem povezav, prejetih v zlonamernih e-poštnih sporočilih, katerih pošiljatelji se predstavljajo kot nekdo drug, v privlačnih objavah na družbenih omrežjih ali v spletnih oglasih.
Pozivi največkrat zadevajo domnevno odkrite napake v programski opremi, kot so brskalnika Chrome ali Edge, urejevalnik besedil Microsoft Word, ali pa potrebo po takojšnji posodobitvi operacijskega sistema Windows. V določenih primerih se ob odprtju spletne strani, ki nam jo servira zlonamerna povezava, odpre tudi okno ponudnika internetne infrastrukture Cloudflare, ki se želi s postopkom identifikacije domnevno prepričati, ali računalnik uporablja prava oseba.
Primer poskusa napada ClickFix z lažno zahtevo po preverjanju, je uporabnik resnična oseba in ne robot (oziroma tako imenovani bot).
Popravi sam
Kot nakazuje že ime – ClickFix oziroma "klikni in popravi" –, se na zaslonu ob pozivu k ukrepanju pojavijo tudi navodila, kako to storiti.
V prvih različicah napada ClickFix je moral uporabnik klikniti na gumb, s katerim je kopiral domnevno kodo za namestitev popravka, nato pa na računalniku odpreti Ukazni poziv (Windows PowerShell), "popravek" prilepiti vanj s klikom desnega gumba na miški in nato zgolj počakati, da bo posodobitev končana.
V resnici je na uporabnikovem računalniku v ozadju najprej sledilo preverjanje, ali je primerna tarča za nadaljevanje postopka oziroma okužbo, nato pa so bili na računalnik dejansko preneseni zlonamerni programi.
Kot so postopek opisali v podjetju za informacijsko varnost Proofpoint, bosta najprej počiščena predpomnilnik DNS, ki shranjuje lokacije obiskanih strežnikov, in odložišče (da se iz njega izbriše kopirana programska koda). Žrtev bo nato prejela obvestilo o odpravljeni napaki, v ozadju pa bo prenesena in izvedena še ena skripta, katere končni cilj je na računalnik namestiti katerega od številnih orodij za prestrezanje in krajo podatkov ali celo prevzem nadzora nad okuženim računalnikom.
Nova metoda v treh korakih, s katero se je še lažje okužiti
Kot so oktobra letos opozorili raziskovalci podjetja Huntress, so se kibernetski zlikovci v zadnjih mesecih prilagodili na zatiranje prvotnih različic napadov ClickFix, saj so Microsoft in nekateri ponudniki protivirusnih programov začeli z blokiranjem spletnih strani, za katere je obstajal sum, da so sidrišča goljufije, izdane pa so bile tudi varnostne posodobitve operacijskih sistemov Windows in macOS, ki je bil prav tako tarča napadov ClickFix.
Poskus napada ClickFix v treh korakih z lažno posodobitvijo operacijskega sistema Windows.
V novoodkritih primerih spletnih strani, ki uporabnike pozivajo k nujni posodobitvi operacijskega sistema Windows, se zlonamerna koda v odložišče na uporabnikovem računalniku prek javanske skripte kopira takoj po obisku spletne strani, žrtev pa mora nato slediti samo trem preprostim korakom. Odpreti mora okno Zagon, vanj prilepiti kopirano programsko kodo in pritisniti gumb Enter. Vse je mogoče zelo hitro storiti z bližnjicami na tipkovnici.
Virusi, ki kradejo podatke in vohunijo za uporabniki, se nato, ko prvotno nameščen zlonamerni program preveri, ali je računalnik primerna tarča za okužbo, namestijo prek slike formata PNG, v kateri je prek postopka, ki se imenuje steganografija, zašifrirana njihova programska koda. Gre za metodo za izogibanje mehanizmom, ki zaznavajo morebitne kibernetske grožnje.
Previdno pri rezervacijah dopustov
Kot so v zadnjih mesecih večkrat opozorili strokovnjaki za kibernetsko varnost, tarče napadov ClickFix niso izključno običajni uporabniki, temveč so vse pogosteje tudi odskočna deska oziroma le pomembna komponenta za večje kampanje internetnih goljufij ali vdorov v informacijske sisteme.
V podjetju Booking.com so že pred časom opozorili, da v prihodnjih letih sploh zaradi vse večje razširjenosti umetnointeligenčnih orodij pričakujejo ogromen razrast poskusov prevar, povezanih z njihovo platformo. Tarča sicer ni Booking.com sam, temveč ponudniki nastanitev, ki jih za pridobitev podatkov o rezervacijah napadajo kiberkriminalci oziroma internetni goljufi.
V podjetju Sekoia so v začetku novembra tako razkrili, da so neznani storilci z napadi ClickFix pridobili dostop do računalniških sistemov in podatkovnih baz več ponudnikov nastanitev oziroma hotelov, ki prek platforme Booking.com ponujajo možnost rezervacije dopustov oziroma prenočišč.
Ker so s tem pridobili tudi podatke o posameznih rezervacijah in strankah, so z njimi v imenu hotelov vzpostavili stik in jih prepričali, da njihovi dopusti še niso plačani in da jih morajo, če ne želijo izgubiti rezervacije, plačati takoj. Nekateri so v strahu pred izgubo rezervacije za isto nastanitev tako plačali dvakrat.
Konec oktobra smo poročali tudi, da so bile tarča premišljene kampanje, v osrčju katere je bil napad ClickFix, ukrajinske vladne institucije in organizacije, ki se ukvarjajo z zbiranjem pomoči za Ukrajino, pa tudi Rdeči križ in Unicef. Prejeli so domnevno pismo iz kabineta ukrajinskega predsednika Volodimirja Zelenskega, v kateri je bila spletna povezava, ki je na koncu vodila do navodil za varnostno preverjanje istovetnosti uporabnikov na ponarejeni platformi za videoklice Zoom.
