ClickFix devine metoda preferată a hackerilor: simplul copy-paste într-o fereastră Windows îți poate infecta computerul
O metodă de fraudă online care păcălește victimele să copieze și să lipească singure comenzi periculoase a devenit una dintre cele mai eficiente arme pentru distribuirea de malware. Într-un raport publicat de ReliaQuest, specialiștii arată că atacurile de tip ClickFix au dominat livrarea de programe malițioase între 1 martie și 31 mai 2026 și nu mai pot fi tratate ca o amenințare rară sau izolată.
ClickFix nu se bazează pe un atașament suspect ori pe un fișier evident infectat. În schimb, atacatorii afișează o pagină care pare legitimă, de multe ori un test CAPTCHA, o eroare de browser sau o instrucțiune de „verificare”. Victima este apoi convinsă să copieze un cod, să deschidă o fereastră Windows Run, Terminal sau Script Editor și să lipească acea comandă. În clipa în care apasă Enter, ea poate porni chiar singură lanțul de infectare.
Un CAPTCHA fals poate ascunde o comandă periculoasă
Metoda funcționează tocmai fiindcă pare banală. Utilizatorul vede un mesaj care spune că browserul s-a blocat, că trebuie confirmată identitatea sau că este necesară o procedură rapidă pentru a continua accesul la un site. În loc să bifeze imagini sau să introducă un cod, primește însă instrucțiuni de tipul „apasă Windows + R”, „lipește textul” și „confirmă”.
Comanda poate porni instrumente legitime din sistemul de operare, precum PowerShell pe Windows sau Script Editor pe macOS. De aici, hackerii pot descărca alte scripturi, pot instala un infostealer care fură parole și cookie-uri sau pot deschide accesul către alte atacuri. Playtech a explicat anterior cum funcționează testele CAPTCHA false folosite pentru răspândirea de malware, una dintre cele mai comune forme prin care ClickFix ajunge la victime.
ReliaQuest arată că această tehnică a generat aproape 28% din activitatea analizată în zona de evitare a detecției. Atacatorii folosesc comenzi ascunse, cod obfuscat și fișiere construite special pentru a părea inofensive în fața soluțiilor clasice de securitate. Astfel, antivirusul poate să nu vadă un executabil suspect, fiindcă utilizatorul este păcălit să ruleze manual comanda direct în instrumentele legitime ale sistemului.
Atacurile nu mai vizează doar utilizatorii de Windows
Una dintre cele mai importante schimbări observate în raport este extinderea ClickFix către macOS. Mult timp, utilizatorii de Mac au considerat că sunt mai puțin expuși la astfel de campanii, însă atacatorii au început să adapteze mesajele și pentru ei. În unele cazuri, victimele sunt împinse să folosească Script Editor sau Terminal pentru a executa cod periculos.
Țintele sunt adesea persoane care caută aplicații tehnice, instrumente de programare sau ghiduri de instalare. Hackerii folosesc inclusiv reclame sponsorizate în Google pentru a promova pagini false care promit instalarea rapidă a unor programe populare. Un exemplu recent a vizat utilizatori care căutau Claude Code, iar instrucțiunile îi trimiteau către comenzi malițioase, după cum arată cazul despre reclame Google și malware pentru Mac.
Pericolul este mai mare pentru dezvoltatori și angajați care lucrează cu tokenuri, chei API sau conturi de companie. O comandă rulată din grabă poate permite furtul unor credențiale sensibile, apoi atacatorii pot pătrunde în proiecte, baze de date sau sisteme interne. În unele incidente analizate, cercetătorii au identificat tokenuri npm și Bitbucket expuse în variabilele de mediu ale dispozitivelor compromise.
Regula simplă care te poate salva de la infectare
Nu copia și nu lipi niciodată comenzi în Windows Run, PowerShell, Terminal sau Script Editor doar pentru că un site, un e-mail ori o reclamă îți spune că trebuie să „repari” ceva. Un CAPTCHA real nu îți va cere să deschizi o consolă de sistem și nici nu îți va oferi cod pe care să îl rulezi manual.
Pentru instalarea unei aplicații, intră direct pe site-ul oficial al dezvoltatorului și evită rezultatele sponsorizate atunci când ai dubii. Actualizează browserul și sistemul de operare, folosește autentificare în doi pași pentru conturile importante și verifică periodic sesiunile active. Dacă ai suspiciunea că ai rulat o comandă periculoasă, schimbă parolele de pe un alt dispozitiv sigur și verifică inclusiv riscul de furt al cookie-urilor de sesiune pe Windows.
ClickFix demonstrează că cele mai periculoase atacuri nu trebuie să fie complicate. Uneori, hackerii nu au nevoie să spargă sistemul de securitate. Este suficient să te convingă să apeși singur pe Enter.