Kibernetinio saugumo ekspertai nustatė naują sukčiavimo ataką, nukreiptą prieš „Mac“ naudotojus per suklastotus CAPTCHA puslapius. Ši ataka, žinoma kaip „ClickFix“, nurodo naudotojams, kad jie privalo patvirtinti savo tapatybę. Tačiau užuot išsprendus paprastą testą, aukos prašomos vykdyti komandas savo įrenginiuose.
Įsilaužėliai naudoja naują įrankį, vadinamą „ClickFix“. Šis atakos metodas sujungia netikras žmogaus patvirtinimo užklausas su kenkėjiška programine įranga ir siekia apgauti vartotojus, kad jie patys paleistų „Terminal“ komandas, apeinančias „macOS“ saugumo mechanizmus.
Taktika, žinoma kaip „ClickFix“, kenkėjiškos programos platinimą užmaskuoja kaip įprastą žmogaus patvirtinimo procedūrą. Aukoms nurodoma atidaryti tokias sistemas kaip „Terminal“ ar komandų eilutę ir įklijuoti komandą, kuri neva reikalinga patvirtinimui užbaigti.
Paleidus tokią komandą, sistemoje įdiegiama kenkėjiška programa, kuri gali pavogti slaptažodžius, naršyklių informaciją ir kriptovaliutų piniginių duomenis.
Saugumo analitikai teigia, kad ši technika sparčiai plinta per pažeistas svetaines, kenkėjiškas reklamas ir sukčiavimo kampanijas.
Netikri CAPTCHA patikrinimai tampa kenkėjiškų atakų įrankiu
CAPTCHA sistemos skirtos atskirti žmones nuo automatizuotų botų ir tapo įprasta naršymo internete dalimi. Daugelis svetainių naudoja tokias patvirtinimo sistemas kaip „Cloudflare“ saugumo patikros ar „Google reCAPTCHA“, kad filtruotų automatizuotą srautą.
Užpuolikai išnaudoja vartotojų įprotį matyti tokias saugumo užklausas. Netikri patvirtinimo puslapiai gali pasirodyti apsilankius pažeistoje svetainėje arba paspaudus kenkėjišką reklamą.
Tačiau vietoje įprastų užduočių – pavyzdžiui, pasirinkti paveikslėlius ar pažymėti langelį – puslapis nurodo atidaryti sistemos įrankį ir į jį įklijuoti komandą. Paleidus komandą iš nuotolinio serverio atsisiunčiama kenkėjiška programa, kuri vykdoma vartotojo įrenginyje.
ClickFix atakos sparčiai plinta internete
Saugumo tyrėjai pirmą kartą „ClickFix“ kampanijas nustatė 2024 m., kai užpuolikai pradėjo eksperimentuoti su kenkėjiškų programų platinimu naudojant kopijavimo ir įklijavimo metodą.
Skirtingai nuo senesnių kenkėjiškų programų kampanijų, kuriose buvo naudojami atsisiuntimai ar failų priedais, „ClickFix“ įtikina aukas pačias paleisti kenksmingas komandas. Kadangi nereikia akivaizdžių atsisiuntimų, ši taktika sparčiai plinta per pažeistas svetaines ir sukčiavimo kampanijas.
Tyrėjų duomenimis, „ClickFix“ tipo atakų aptikimų skaičius 2024–2025 m. išaugo daugiau nei 500 %. Saugumo analitikai ją jau laiko viena sparčiausiai plintančių socialinės inžinerijos grėsmių internete.
Naujausios kampanijos tapo sudėtingesnės: netikruose CAPTCHA puslapiuose naudojami atgalinio skaičiavimo laikmačiai ir vaizdo instrukcijos, kurios žingsnis po žingsnio parodo, ką daryti. Kai kuriais atvejais naudojamas „JavaScript“, kuris automatiškai nukopijuoja kenkėjišką komandą į vartotojo iškarpinę, taip padidindamas užkrėtimo tikimybę.
Nors pirmosios „ClickFix“ kampanijos buvo nukreiptos į „Windows“ sistemas, dabar aptinkamos versijos, sukurtos specialiai „macOS“ įrenginiams. Kai kurie kenkėjiški puslapiai net aptinka lankytojo operacinę sistemą ir pateikia instrukcijas, pritaikytas „Mac“ naudotojams.
Dažniausiai vartotojams nurodoma paspausti „Command–Space“, kad būtų atidaryta „Spotlight“ paieška, paleisti „Terminal“ ir įklijuoti komandą, nukopijuotą iš tinklalapio.
Paleidus komandą gali būti įdiegta informacijos vagystei skirta kenkėjiška programa, pavyzdžiui, „Atomic macOS Stealer“. Ji gali rinkti naršyklių prisijungimo duomenis, slapukus ir kriptovaliutų piniginių informaciją iš užkrėstų „Mac“ kompiuterių.
Kodėl ClickFix netikri CAPTCHA sukčiavimo metodai apeina saugumo sistemas
„Mac“ kompiuteriai nėra apsaugoti nuo tokių atakų, nes jos remiasi vartotojų elgesiu, o ne programinės įrangos pažeidžiamumais. Nors „macOS“ saugumo mechanizmai gali sustabdyti kai kuriuos užkratus, jie negali užkirsti kelio vartotojui sąmoningai paleisti kenksmingą komandą.
Tradicinės kenkėjiškų programų aptikimo sistemos dažniausiai orientuotos į įtartinų atsisiuntimų ar pažeidžiamumų išnaudojimo blokavimą. „ClickFix“ kampanijos apeina daugelį tokių signalų, nes paskutinį vykdymo žingsnį perkelia pačiam naudotojui.
Saugumo tyrėjai šią taktiką apibūdina kaip socialinės inžinerijos formą, kuri išnaudoja pasitikėjimą įprastomis sistemos užklausomis. Galiausiai naudotojai patys paleidžia užpuolikų kodą.
Daugelis tokių atakų naudoja teisėtus sistemos įrankius, tokius kaip „PowerShell“ ar „Terminal“. Ši technika dažnai vadinama „living off the land“, kai vietoje specialių kenkėjiškų įkėlimo programų naudojami jau sistemoje esantys įrankiai.
Dėl to saugumo programinė įranga kartais gali laikyti tokią veiklą įprasta, nes komandos vykdomos patikimuose sistemos įrankiuose.
Kaip apsisaugoti nuo netikrų CAPTCHA ir ClickFix sukčiavimo
Tikėtina, kad dauguma „Mac Arena“ skaitytojų į tokią apgaulę nepaklius. Tačiau beveik kiekvienas pažįsta žmogų, kuris galėtų būti apgautas.
Svarbiausias įspėjamasis ženklas labai paprastas: tikros CAPTCHA sistemos niekada neprašo vartotojų atidaryti „Terminal“, „PowerShell“ ar kitų komandų sąsajų ir įklijuoti komandas tam, kad būtų užbaigtas patvirtinimas.
Jei patvirtinimo langas nurodo paleisti komandas arba įklijuoti tekstą į sistemos įrankį, tai beveik neabejotinai yra kenkėjiška veikla. Tokiu atveju saugiausia nedelsiant uždaryti puslapį.
Netikri CAPTCHA sukčiavimo puslapiai dažniausiai pasirodo pažeistose svetainėse, kenkėjiškose reklamose ar sukčiavimo puslapiuose, imituojančiuose tikras saugumo patikras. Venkite sąveikos su netikėtais patvirtinimo langais ar įtartinais iššokančiais pranešimais.
Naršyklių ir operacinės sistemos atnaujinimai sumažina riziką patekti į kenkėjiškas svetaines, o modernios saugumo priemonės gali blokuoti žinomas grėsmes. Vis dėlto svarbiausia apsauga yra vartotojų budrumas, nes „ClickFix“ atakos remiasi apgaule, o ne programinės įrangos pažeidžiamumais.
