Nowy wariant ataku ClickFix: fake Cloudflare, WebDAV i Electron

ClickFix — co to jest?

ClickFix to technika socjotechniczna, w której atakujący podszywają się pod zaufane interfejsy (np. captcha Cloudflare, błąd systemu Windows) i nakłaniają użytkownika do samodzielnego uruchomienia złośliwego kodu przez np. schowek systemowy.

Kluczowy element: użytkownik sam wykonuje złośliwą komendę — co znacząco utrudnia wykrycie przez tradycyjne rozwiązania bezpieczeństwa.

Nowy wariant: Cloudflare + WebDAV + Electron

W opisywanym przypadku łańcuch ataku wygląda następująco:

1. Użytkownik trafia na fałszywą stronę z "weryfikacją captcha Cloudflare"
2. Strona prosi o naciśnięcie Win+R i wklejenie komendy ze schowka
3. Komenda montuje ukryty zasób WebDAV (net use) i uruchamia stamtąd skrypt PowerShell
4. Skrypt instaluje aplikację Electron, w której app.asar zawiera złośliwą logikę

Dlaczego Electron?

Aplikacje Electron są trudniejsze do analizy:

• app.asar to archiwum, które wymaga specjalnych narzędzi do rozpakowania
• Kod JS w archiwum może być zaciemniony (obfuscated)
• Wiele programów antywirusowych nie skanuje zawartości .asar
• Aplikacja ma dostęp do Node.js API — może wykonywać operacje na systemie plików, uruchamiać procesy, komunikować się z C2

Wskaźniki kompromitacji (IoC)

Przy analizie warto szukać:

• Nieoczekiwanych operacji net use w logach systemowych
• Uruchamiania aplikacji Electron z nieznanych lokalizacji
• Połączeń do adresów WebDAV nie należących do organizacji
• Zmian w harmonogramie zadań Windows (persistence)

Wnioski

ClickFix jako technika jest szczególnie groźna, bo omija wiele tradycyjnych zabezpieczeń. Kluczowa obrona to świadomość użytkowników — żadna legalna weryfikacja captcha nie prosi o uruchamianie komend w terminalu.