Mechanizm ClickFix
ClickFix to technika socjotechniczna, w której atakujący podszywają się pod zaufane interfejsy, np. weryfikację Cloudflare albo komunikat systemowy, i nakłaniają użytkownika do samodzielnego uruchomienia komendy. Najczęściej wykorzystywany jest schowek systemowy oraz skrót Win+R.
Kluczowy element tej techniki jest prosty: użytkownik wykonuje polecenie, które wygląda jak część procesu weryfikacji. Z perspektywy systemu część aktywności może przypominać normalne działanie użytkownika, co utrudnia prostą klasyfikację zdarzenia.
Nowy wariant: Cloudflare + WebDAV + Electron
W analizowanym wariancie łańcuch wygląda następująco:
- użytkownik trafia na fałszywą stronę z weryfikacją Cloudflare,
- strona instruuje go, aby użył Win+R i wkleił przygotowaną komendę,
- komenda montuje zasób WebDAV (
net use) i uruchamia skrypt PowerShell, - skrypt dostarcza aplikację Electron, w której logika znajduje się w
app.asar.
Dlaczego Electron?
Aplikacja Electron może utrudnić szybkie rozpoznanie ładunku:
app.asarjest archiwum, które trzeba rozpakować przed analizą kodu,- kod JavaScript może być zaciemniony,
- część narzędzi bezpieczeństwa może traktować aplikację jak zwykły desktopowy pakiet, jeśli nie analizuje zawartości archiwum,
- aplikacja z dostępem do Node.js API może operować na plikach, uruchamiać procesy i komunikować się z infrastrukturą atakującego.
Wskaźniki kompromitacji (IoC)
Przy analizie podobnego przypadku warto szukać:
- nieoczekiwanych operacji
net usew logach systemowych, - uruchamiania aplikacji Electron z nietypowych lokalizacji,
- połączeń do zasobów WebDAV spoza organizacji,
- zmian w harmonogramie zadań Windows albo innych mechanizmów persistence.
Wnioski
Najważniejszy sygnał ostrzegawczy jest praktyczny: legalna weryfikacja captcha
nie wymaga uruchamiania komend przez Win+R, PowerShell ani terminal. W
środowisku firmowym warto monitorować nietypowe użycie net use, uruchamianie
PowerShella z poleceń wklejanych przez użytkownika oraz instalacje aplikacji z
nieznanych źródeł.