CyberProofs hotforskningsteam har upptäckt en ny variant av ClickFix-attacken som använder falska CAPTCHA-sidor för att lura användare att köra skadliga kommandon. Det som skiljer den här varianten är att den undviker vanliga verktyg som PowerShell och rundll32, och istället utnyttjar Windows egna verktyg cmdkey och regsvr32 för att smyga förbi säkerhetsprogram.

Så fungerar attacken

Attacken börjar med en falsk CAPTCHA-kontroll eller ett webbläsarfel som uppmanar användaren att trycka Windows-tangenten + R och klistra in ett kommando. Den skadliga koden innehåller till och med en falsk "I am not a robot"-kommentar för att se ut som en riktig Cloudflare-kontroll.

När kommandot körs händer följande:

• Datorn ansluter till en fjärrserver via en UNC-sökväg och hämtar filen demo.dll
• DLL-filen körs tyst via regsvr32 och skapar en schemalagd uppgift kallad "RunNotepadNow" för att se ut som en vanlig bakgrundsprocess
• Uppgiftens instruktioner hämtas från en fjärrfil (777.xml) istället för att lagras lokalt, vilket gör det svårare att upptäcka

Varför är det svårt att upptäcka?

Genom att använda cmdkey och regsvr32, som är betrodda Windows-verktyg som redan finns på datorn, kan angriparna agera utan att utlösa larm. Eftersom användaren själv startar processen manuellt tolkar systemet aktiviteten som legitim.

Angriparna kan dessutom ändra instruktionerna i XML-filen på sin server när som helst, utan att behöva skicka nya filer till offrets dator.

ClickFix blir allt vanligare

ClickFix-tekniken har blivit ett populärt verktyg bland angripare. Tidigare kampanjer har imiterat Google Meet, Microsoft Word och GitHub. Den här varianten visar att tekniken fortsätter att utvecklas och bli svårare att upptäcka.

Det bästa skyddet är enkelt: klistra aldrig in kod från en webbplats i Windows Kör-ruta, oavsett hur äkta CAPTCHA-kontrollen ser ut.