Поделиться
«Информзащита»: почти половина атак осуществляется с использованием техники ClickFix
Эксперты компании «Информзащита» фиксирует значительный рост числа кибератак с использованием техники социальной инженерии ClickFix, доля которых по сравнению с другими типами атак достигла 47%, что делает ее самым распространенным методом первичного проникновения в корпоративные системы за одиннадцать месяцев 2025 г. Рост отражает как высокую эффективность метода, так и его слабую заметность для традиционных средств защиты.
ClickFix обманывает пользователей, заставляя их скопировать команду – часто содержащуюся в поддельном всплывающем окне, заявлении о приеме на работу или сообщении службы поддержки – и вставить ее в диалоговое окно запуска Windows (Win + R) или в терминал, который затем выполняет PowerShell или mshta.exe. Эти команды загружают вредоносную информацию непосредственно в память. Такой подход не оставляет файлов на диске и позволяет обходить классические антивирусные механизмы, ориентированные на сигнатуры. ClickFix обеспечил около 47% всех зафиксированных ими атак на этапе первоначального доступа, опередив фишинг, который составил порядка 35%, и другие методы, включая подбор паролей и drive-by-компрометацию.
В «Информзащите» отмечают, что рост ClickFix-атак обусловлен сразу несколькими факторами. Во-первых, массовый переход бизнеса на удаленные и гибридные форматы работы повысил зависимость сотрудников от онлайн-коммуникаций и снизил порог доверия к всплывающим сообщениям, инструкциям и различным уведомлениям. Во-вторых, злоумышленники активно используют генеративный ИИ для создания убедительных текстов и сценариев, что делает обман практически неотличимым от легитимных запросов.
Наиболее подверженным подобным атакам, по оценке экспертов «Информзащиты», является финансовый сектор, на который приходится около 28% инцидентов с использованием социальной инженерии. На втором месте находятся компании из сферы промышленности и энергетики с долей порядка 22%, что связано с высокой ценностью доступа к технологическим процессам и учетным данным. Третью позицию занимает ИТ и телекоммуникации – около 18%. Также заметную долю, около 15%, составляют организации здравоохранения, а оставшиеся атаки распределяются между образованием, логистикой и розничной торговлей.
«ClickFix опасен тем, что ломает привычную модель защиты, в которой пользователь считается пассивной жертвой. Мы видим, что даже хорошо обученные сотрудники иногда теряют бдительность, если сценарий выглядит правдоподобно и не содержит привычных знаков вроде подозрительных ссылок», – сказал руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.
Последствия успешных ClickFix-кампаний могут быть крайне серьезными: такие атаки используются для доставки инфостилеров, троянов удаленного доступа и червей, что в итоге приводит к компрометации учетных данных, развертыванию дополнительного вредоносного ПО и закреплению злоумышленников в инфраструктуре. Для бизнеса это оборачивается простоями, утечками данных, финансовыми потерями и репутационным ущербом.
Чтобы минимизировать риски и повысить устойчивость бизнеса к современным угрозам, эксперты «Информзащиты» рекомендуют комплексный подход. Первым шагом должно стать обучение сотрудников: регулярные тренинги по кибергигиене, моделирование атак социальной инженерии и разъяснение опасности копирования команд из непроверенных источников критичны для формирования устойчивого человеческого барьера. Технические меры также играют ключевую роль: включение логирования скриптов PowerShell, настройка ограниченного языка выполнения скриптов, а также внедрение средств мониторинга поведения (например, отслеживание активности буфера обмена, связанной с запуском терминалов) помогают выявлять подозрительные действия до того, как они перерастут в инцидент.
Не менее важно усилить защиту браузеров и рабочих устройств, ограничив доступ к буферу обмена в недоверенных зонах и блокируя выполнение потенциально опасных скриптов. Контекстный анализ событий безопасности, который связывает действия пользователя с последующим поведением системы, существенно повышает шанс раннего обнаружения атак. Наконец, компании должны рассматривать архитектурные изменения, такие как принципы нулевого доверия (Zero Trust) и многофакторная аутентификация, что снижает вероятность успешной компрометации при первоначальном доступе.
Короткая ссылка
