Centrul Australian de Securitate Cibernetică (ACSC, Australian Cyber Security Centre) a emis un avertisment cu privire la o campanie activă de tip ClickFix care vizează infrastructura și organizațiile australiene din mai multe sectoare, distribuind malware de tip infostealer (furt de date) prin intermediul unor site-uri WordPress compromise.

ClickFix este o tehnică de inginerie socială observată încă din 2024, folosită în diferite tipuri de atac, inclusiv furtul de credențiale și compromiterea financiară, prin distribuirea de malware.

Metoda se bazează pe păcălirea utilizatorului pentru a executa comenzi malițioase, de obicei PowerShell, pe sistem. De obicei, atacatorii se folosesc de pop-ups, verificări CAPTCHA, actualizări false.

Capcana este ca utilizatorul să copieze/lipească cod într-o consolă Windows pentru a rezolva problema. De multe ori, codul este trimis direct in clipboard și utilizatorul doar trebuie să-l introducă în Command Prompt sau PowerShell și să apese tasta enter.

Metoda ClickFix este extrem de periculoasă, deoarece nu exploatează o vulnerabilitate a sistemului, ci încrederea utilizatorului.

Campania observată de guvernul australian folosește site-uri WordPress compromise pentru a redirecționa victimele către mecanisme de livrare a malware-ului.

Atacul începe de obicei cu un un prompt de verificare Cloudflare fraudulos, care cere utilizatorului să verifice dacă este uman prin executarea manuală a unei comenzi ce necesită privilegii administrative.

Tipul de malware instalat in acest fel este Vidar Stealer, care fură informații de pe calculator, precum credențiale, date din browser, portofele de criptomonede și informații de sistem.

Vidar se șterge automat după lansare și operează în principal din memoria sistemului, reducând eficacitatea tehnicilor criminalistice.

Organizațiile sunt sfătuite să instruiască utilizatorii cu privire la ingineria socială de tip ClickFix și să nu copieze, lipească sau execute niciodată comenzi din site-uri web sau ferestre pop-up.