← Wszystkie artykuły
2026-03-17

ClickFix: fałszywy Cloudflare, WebDAV i aplikacja Electron

Mechanizm ClickFix

ClickFix to technika socjotechniczna, w której atakujący podszywają się pod zaufane interfejsy, np. weryfikację Cloudflare albo komunikat systemowy, i nakłaniają użytkownika do samodzielnego uruchomienia komendy. Najczęściej wykorzystywany jest schowek systemowy oraz skrót Win+R.

Kluczowy element tej techniki jest prosty: użytkownik wykonuje polecenie, które wygląda jak część procesu weryfikacji. Z perspektywy systemu część aktywności może przypominać normalne działanie użytkownika, co utrudnia prostą klasyfikację zdarzenia.

Nowy wariant: Cloudflare + WebDAV + Electron

W analizowanym wariancie łańcuch wygląda następująco:

  1. użytkownik trafia na fałszywą stronę z weryfikacją Cloudflare,
  2. strona instruuje go, aby użył Win+R i wkleił przygotowaną komendę,
  3. komenda montuje zasób WebDAV (net use) i uruchamia skrypt PowerShell,
  4. skrypt dostarcza aplikację Electron, w której logika znajduje się w app.asar.

Dlaczego Electron?

Aplikacja Electron może utrudnić szybkie rozpoznanie ładunku:

  • app.asar jest archiwum, które trzeba rozpakować przed analizą kodu,
  • kod JavaScript może być zaciemniony,
  • część narzędzi bezpieczeństwa może traktować aplikację jak zwykły desktopowy pakiet, jeśli nie analizuje zawartości archiwum,
  • aplikacja z dostępem do Node.js API może operować na plikach, uruchamiać procesy i komunikować się z infrastrukturą atakującego.

Wskaźniki kompromitacji (IoC)

Przy analizie podobnego przypadku warto szukać:

  • nieoczekiwanych operacji net use w logach systemowych,
  • uruchamiania aplikacji Electron z nietypowych lokalizacji,
  • połączeń do zasobów WebDAV spoza organizacji,
  • zmian w harmonogramie zadań Windows albo innych mechanizmów persistence.

Wnioski

Najważniejszy sygnał ostrzegawczy jest praktyczny: legalna weryfikacja captcha nie wymaga uruchamiania komend przez Win+R, PowerShell ani terminal. W środowisku firmowym warto monitorować nietypowe użycie net use, uruchamianie PowerShella z poleceń wklejanych przez użytkownika oraz instalacje aplikacji z nieznanych źródeł.