Du besöker en webbsida och möts av en CAPTCHA-kontroll — "Verifiera att du är en människa". Du klickar, följer instruktionerna och tänker inte mer på det. Men i bakgrunden har du just installerat skadlig programvara på din dator.

Vad är ClickFix?

ClickFix är en attackmetod där angripare skapar falska CAPTCHA-sidor som lurar användare att köra skadliga kommandon på sin dator. Säkerhetsforskare på Netskope Threat Labs har nu identifierat en ny, mer sofistikerad variant som installerar en Node.js-baserad Remote Access Trojan (RAT) med Tor-baserad kommunikation tillbaka till angriparen.

Till skillnad från tidigare ClickFix-kampanjer är den nya varianten modulär. De farligaste funktionerna lagras aldrig på hårddisken utan levereras direkt i minnet efter att kontakt etablerats med kommando- och kontrollservern. Det gör att traditionella antivirusprogram har svårt att upptäcka hotet.

Så fungerar attacken

Användaren lockas till en webbsida med en falsk CAPTCHA. Sidan instruerar användaren att trycka en tangentkombination eller kopiera och klistra in ett kommando — steg som ser ut som en vanlig verifieringsprocess men som i själva verket kör ett skadligt skript.

Skriptet laddar ner en MSI-installationsfil som placerar sig i användarens lokala applikationsmapp. För att överleva omstarter lägger den till ett registervärde som ser ut som en legitim systemprocess. Därefter etableras en krypterad anslutning via Tor-nätverket till angriparens server.

Varför det är farligt för företag

CAPTCHA-kontroller är något alla anställda stöter på dagligen. De flesta reagerar inte på att en webbsida ber dem verifiera sig. Det gör ClickFix till en särskilt effektiv social engineering-attack — den utnyttjar ett beteende som redan är inlärt.

När angriparen väl har fjärråtkomst till en anställds dator kan de röra sig vidare i nätverket, stjäla inloggningsuppgifter, exfiltrera data eller installera ransomware. Eftersom kommunikationen går via Tor är den svår att upptäcka med vanlig nätverksövervakning.

Så skyddar du ditt företag

Utbilda anställda om att CAPTCHA-kontroller aldrig ska be dem köra kommandon, kopiera text till terminalen eller trycka ovanliga tangentkombinationer. En riktig CAPTCHA kräver bara ett klick eller en enkel bilduppgift.

Begränsa möjligheten att köra skript och installera programvara på arbetsdatorer. Övervaka utgående Tor-trafik — det finns sällan legitima skäl för företagsdatorer att kommunicera via Tor. Håll endpoint-skydd uppdaterat och använd lösningar som kan detektera beteendebaserade hot, inte bara kända signaturer.

Vill ni stärka ert skydd mot ClickFix och liknande attacker? Kontakta BlckIT så hjälper vi er med utbildning och tekniska åtgärder.