ClickFix, noua amenințare cibernetică din 2025 care ocolește cu succes protecțiile Windows și macOS

Un nou tip de atac informatic, numit ClickFix, se răspândește rapid în 2025, afectând atât utilizatorii de Windows, cât și pe cei de macOS, prin metode greu de detectat de programele de securitate.

Un val de atacuri informatice cu o tehnică relativ nouă, denumită ClickFix, a început să afecteze tot mai mulți utilizatori în 2025.

Metoda este ingenioasă, rapidă și, cel mai îngrijorător, reușește să ocolească multe dintre sistemele moderne de protecție ale computerelor.

Atacurile sunt direcționate atât împotriva utilizatorilor de macOS, cât și a celor de Windows, exploatând în special lipsa de informare a victimelor.

În mod obișnuit, un atac ClickFix începe printr-un email fals care pare trimis de un hotel unde utilizatorul are o rezervare, conținând informații corecte despre cazare, scrie ArsTechnica.

Alteori, atacul pornește de la un mesaj pe WhatsApp sau de la un link malițios aflat chiar în primele rezultate Google. Pagina respectivă afișează o provocare CAPTCHA sau o altă cerință aparent banală, solicitând utilizatorului să copieze o linie de text, să o insereze în terminal și să apese Enter.

Cum funcționează atacul ClickFix

O singură linie de cod este, așadar, suficientă pentru a compromite complet sistemul. După executarea comenzii, calculatorul accesează un server controlat de atacatori, de unde descarcă automat programe malițioase, fără a lăsa urme vizibile. În cele mai multe cazuri, este instalat un malware specializat în furtul de parole și date personale.

Specialiștii CrowdStrike au raportat campanii extinse care folosesc ClickFix pentru a instala fișiere Mach-O, executabile specifice macOS, capabile să evite verificările sistemului Gatekeeper.

Printre programele descoperite se numără „Shamos”, un troian care fură date de autentificare, dar și aplicații care transformă computerul într-un nod de botnet sau modifică setările macOS pentru a se reactiva la fiecare repornire.

Ținte din industria hotelieră și campanii pentru Windows

O altă serie de atacuri, documentată de cercetătorii Sekoia, a vizat în special utilizatorii de Windows. Hackerii compromit conturi de hoteluri din platforme precum Booking.com și contactează clienți cu rezervări reale, câștigându-le astfel încrederea.

Aceștia trimit un link către o pagină care imită perfect interfața Cloudflare, cerând utilizatorului să introducă o comandă în terminalul Windows. În urma acestei acțiuni, calculatorul este infectat cu malware-ul PureRAT.

Compania Push Security a identificat campanii ClickFix care se adaptează automat la sistemul de operare al victimei, trimițând programe dăunătoare specifice pentru Windows sau macOS.

În unele cazuri, sunt utilizate scripturi cunoscute ca LOLbins („living off the land binaries”), care se bazează exclusiv pe instrumente legitime din sistemul de operare, fără a scrie fișiere suspecte pe disc – ceea ce face detectarea extrem de dificilă.

Deoarece comenzile sunt adesea codificate în base64 și executate în mediul izolat al browserului, multe soluții de securitate nu le pot intercepta.

Lipsa de conștientizare a utilizatorilor amplifică riscul: oamenii sunt atenți la linkurile suspecte, dar rareori se gândesc că o instrucțiune aparent tehnică, copierea unei linii de text, poate declanșa o infecție completă.

Cu apropierea sărbătorilor și a sezonului de călătorii, experții recomandă ca familia și prietenii mai puțin familiarizați cu tehnologia să fie avertizați despre ClickFix.

Deși aplicațiile precum Microsoft Defender pot bloca o parte dintre aceste atacuri, vigilența și informarea rămân în prezent cele mai eficiente metode de protecție.