Cyberataki pod fałszywym pretekstem
ClickFix nie wygląda jak coś groźnego. Na pierwszy rzut oka to tylko komunikat o błędzie – niby coś się nie pobrało, coś się nie udało otworzyć, coś poszło nie tak. Tyle że kliknięcie pozornie niewinnego przycisku „Napraw” może uruchomić całą serię nieodwracalnych konsekwencji. W rzeczywistości to przemyślany mechanizm ataku socjotechnicznego, który w ostatnich miesiącach zyskał popularność wśród najgroźniejszych grup APT – tych, które działają w interesie państw takich jak Korea Północna, Iran czy Rosja. ClickFix bazuje na ludzkim odruchu chęci rozwiązania problemu. Użytkownik, przekonany, że coś poszło nie tak z dokumentem lub pobieraniem pliku, widzi sugestię naprawy. W tle jednak nie dochodzi do żadnego rzeczywistego naprawiania – kliknięcie powoduje uruchomienie polecenia PowerShell lub skryptu, który pobiera i instaluje złośliwe oprogramowanie. Nieświadoma ofiara sama, bez przymusu i bez ingerencji z zewnątrz, uruchamia procedurę, która daje atakującym pełny dostęp do jej systemu.
Szpiegostwo i sabotaż pod płaszczykiem aktualizacji
Od końca 2024 roku technika ClickFix wykorzystywana była przez co najmniej cztery znane grupy powiązane z państwowym wywiadem. Północnokoreański Kimsuky, irański MuddyWater oraz rosyjskie jednostki APT28 i UNK_RemoteRogue prowadziły z jej pomocą zaawansowane kampanie szpiegowskie. W każdym przypadku scenariusz był podobny: fałszywy pretekst, zaufanie zdobywane przez spreparowane wiadomości e-mail, a potem – celowe wprowadzenie ofiary w błąd i instrukcja, która prowadziła do infekcji. Kimsuky operował głównie w styczniu i lutym 2025 roku, celując w think tanki zajmujące się Koreą Północną. Wiadomości stylizowane na oficjalną korespondencję dyplomatyczną prowadziły do fałszywego pliku PDF, który rzekomo wymagał rejestracji urządzenia. Tak naprawdę ofiary kopiowały i uruchamiały kod PowerShell, który inicjował cały proces infekcji. Skrypt instalował kolejne narzędzia, w tym QuasarRAT – popularne narzędzie do zdalnego dostępu – i wprowadzał trwałe zmiany w systemie. Irańska grupa MuddyWater wycelowała w 39 organizacji z Bliskiego Wschodu. Scenariusz wyglądał równie przekonująco – e-maile podszywały się pod oficjalne alerty Microsoftu. Informacja o pilnej aktualizacji zabezpieczeń i prośba o uruchomienie polecenia PowerShell jako administrator wystarczyły, by wielu użytkowników dało się złapać. W efekcie instalowano narzędzie typu RMM, pozwalające atakującym nie tylko monitorować działania użytkownika, ale też manipulować systemem zdalnie. Rosyjska aktywność była równie skuteczna, ale jeszcze bardziej dopracowana w warstwie wizualnej. UNK_RemoteRogue, działając z zainfekowanych serwerów Zimbra, podszywał się pod Microsoft Office, łącznie z własną fałszywą stroną internetową przypominającą edytor tekstu. Kliknięcie linku przenosiło użytkownika do strony z samouczkiem wideo i instrukcją w języku rosyjskim. W rzeczywistości wszystko kończyło się uruchomieniem kodu JavaScript, który aktywował PowerShell i otwierał kanał do serwera C2 – punktu dowodzenia i kontroli, przez który atakujący uzyskiwali dostęp do całego systemu.
APT28, znana rosyjska grupa związana z GRU, wykorzystała ClickFix już w październiku 2024 roku. Ich wariant ataku opierał się na wiarygodnym arkuszu Google i oknie reCAPTCHA, a także wyskakującym komunikacie z instrukcją. Użytkownik uruchamiał PowerShell i nieświadomie konfigurował tunel SSH oraz Metasploit – klasyczne narzędzie do przejmowania systemów.
Zagrożenie, które nie znika
ClickFix nie potrzebuje żadnych technicznych furtek, żadnych luk w systemie, żadnych backdoorów. Wystarczy jeden klik. Ofiary same wykonują operację, do której nikt nie zmuszał ich siłą. I właśnie w tym tkwi największe zagrożenie – bo to nie maszyna zawodzi, lecz człowiek. Mechanizm jest tym bardziej skuteczny, że bazuje na zaufaniu i niewiedzy – dwóch najczęstszych wektorach udanych ataków. Raporty bezpieczeństwa podkreślają, że wielu użytkowników nadal uruchamia komendy, których nie rozumie, kopiując je z maili lub stron internetowych. Szczególnie niebezpieczne staje się to w momencie, gdy operacje wykonywane są z uprawnieniami administratora – co otwiera napastnikom drzwi do całej infrastruktury IT ofiary. ClickFix pokazuje, że nawet najprostsza sztuczka może stać się bronią na poziomie państwowym, jeśli tylko zostanie odpowiednio zapakowana. Walka z tym zagrożeniem nie wymaga najnowszego oprogramowania ani kolejnych łatek bezpieczeństwa. Wymaga edukacji, ostrożności i zdrowego rozsądku. I przede wszystkim świadomości, że nie każdy komunikat o błędzie zasługuje na kliknięcie.
