Η νέα απειλή ClickFix: εκμετάλλευση ανθρώπινων λαθών

Η άνοδος της ClickFix τεχνικής

Η τεχνική κοινωνικής μηχανικής που ονομάζεται ClickFix έχει αρχίσει να κερδίζει έδαφος μεταξύ των κυβερνοεγκληματιών, από μεμονωμένους χάκερ μέχρι ομάδες που υποστηρίζονται από κράτη, όπως οι APT28 της Ρωσίας και οι MuddyWater του Ιράν. Αυτή η μέθοδος στοχεύει τους χρήστες ως τον αδύναμο κρίκο στην αλυσίδα της κυβερνοασφάλειας, παρασύροντάς τους να εκτελέσουν κακόβουλες εντολές μέσω φαινομενικά αθώων προτροπών.

Η απειλή της κοινωνικής μηχανικής

Οι καμπάνιες ClickFix έχουν επηρεάσει διάφορους τομείς, όπως την υγειονομική περίθαλψη, τη φιλοξενία, την αυτοκινητοβιομηχανία και τον κυβερνητικό τομέα, αποτελώντας σημαντική απειλή για την ασφάλεια των οργανισμών παγκοσμίως. Χρησιμοποιώντας γνωστές πλατφόρμες όπως το GitHub ή απατηλά phishing emails, οι επιτιθέμενοι παραδίδουν κακόβουλα φορτία που ξεκινούν μια αλυσίδα κακόβουλων ενεργειών, συχνά παρακάμπτοντας παραδοσιακά μέτρα ασφαλείας με ανησυχητική ευκολία.

Η ανάλυση των Darktrace

Έρευνες από την ομάδα Threat Research της Darktrace, που διεξήχθησαν στις αρχές του 2025, έχουν φωτίσει την περίπλοκη αλυσίδα επιθέσεων των καμπανιών ClickFix. Οι επιτιθέμενοι αποκτούν συνήθως αρχική πρόσβαση μέσω spear phishing συνδέσμων, drive-by compromises ή ψεύτικων CAPTCHA προτροπών που ανακατευθύνουν τους χρήστες σε κακόβουλες διευθύνσεις URL, μεταμφιεσμένες ως συνήθη βήματα επαλήθευσης ή διόρθωσης σφαλμάτων.

Η διαδικασία της επίθεσης

Μόλις οι χρήστες παραπλανηθούν, οδηγούνται μέσω μιας απατηλής τριών βημάτων διαδικασίας: άνοιγμα ενός διαλόγου Windows Run, επικόλληση μιας κακόβουλης εντολής PowerShell και εκτέλεση της, που έχει ως αποτέλεσμα την εγκατάσταση κακόβουλων λογισμικών όπως το XWorm, το Lumma και το AsyncRAT. Η ανίχνευση ανωμαλιών της Darktrace εντόπισε αυτές τις απειλές σε περιβάλλοντα πελατών στην Ευρώπη, τη Μέση Ανατολή, την Αφρική και τις Ηνωμένες Πολιτείες.

Η ζωή της επίθεσης ClickFix

Σε ένα συγκεκριμένο περιστατικό στις 9 Απριλίου 2025, το Darktrace / NETWORK εντόπισε έναν νέο PowerShell user agent σε μια παραβιασμένη συσκευή, υποδεικνύοντας απομακρυσμένη εκτέλεση κώδικα και επακόλουθη επικοινωνία command-and-control (C2) με ύποπτα endpoints. Ακολούθησε η λήψη αρχείων με αριθμητικά ονόματα, συχνά χαρακτηριστικό γνώρισμα κακόβουλου λογισμικού που χρησιμοποιείται για πλευρική κίνηση και εξαγωγή δεδομένων σε IPs όπως το 193.36.38[.]237, επιβεβαιωμένο ως κακόβουλο από πολλαπλές πηγές OSINT.

Η αντίδραση της Darktrace

Η επίθεση κατέληξε σε αυτοματοποιημένη εξαγωγή δεδομένων σε έναν δευτερεύοντα C2 server, 188.34.195[.]44, υπογραμμίζοντας την ταχύτητα και την αθόρυβη φύση των επιχειρήσεων ClickFix. Όταν είναι διαμορφωμένη σε Autonomous Response mode, η Darktrace μπλόκαρε με επιτυχία τις συνδέσεις με κακόβουλα endpoints μέσα σε δευτερόλεπτα, αποδεικνύοντας τη δύναμη της πραγματικής απειλής περιορισμού σε πραγματικό χρόνο.

Η σημασία της αυτοματοποιημένης προστασίας

Χωρίς τέτοια αυτοματοποίηση, η χειροκίνητη παρέμβαση συχνά αποτυγχάνει να συμβαδίσει με την ταχεία εξέλιξη αυτών των επιθέσεων, επιτρέποντας την κλοπή ευαίσθητων δεδομένων ή περαιτέρω παραβίαση δικτύου. Η ικανότητα της Darktrace να συσχετίζει δείκτες παραβίασης (IoCs) και να ενεργοποιεί ειδοποιήσεις υψηλής προτεραιότητας μέσω του μοντέλου Enhanced Monitoring υπογραμμίζει την ανάγκη για προσαρμοστικές, ανωμαλοκεντρικές λύσεις κυβερνοασφάλειας στην καταπολέμηση των εξελισσόμενων τακτικών όπως το ClickFix που εκμεταλλεύονται με ακρίβεια τα ανθρώπινα λάθη.

Δείκτες παραβίασης (IoCs)