De hoeveelheid ClickFix-aanvallen, ook bekend als ClearFix-aanvallen, groeit snel en wordt door steeds meer aanvallers ingezet. Onder meer diverse APT-groepen die banden onderhouden met overheden zetten de aanvalsmethode in. Hiervoor waarschuwt Group-IB, dat de aanvallen analyseerde. In een blogpost deelt het zijn bevindingen.

ClickFix is een social engineering-techniek waarbij gebruikers worden overtuigd PowerShell-commando's uit te voeren op hun systeem. In veel gevallen gebruiken aanvallers daarbij het clipboard van gebruikers. De techniek is voor het eerst waargenomen in oktober 2023, en wint sinds eind 2024 sterk aan populariteit. ClickFix-aanvallen maken vaak gebruik van valse reCAPTCHA-pagina's en andere vormen van bescherming tegen bots.

SMOKESABER

Group-IB omschrijft in zijn blogpost diverse aanvallen die de ClickFix-methode gebruiken. Een voorbeeld van een vroegtijdig incident met de aanvalsmethode die Group-IB omschrijft vond plaats in augustus 2024 en wordt 'SMOKESABER' genoemd. Aanvallers serveerden hierbij gebruikers van diverse website met valse reCAPTCHA's, waarmee gebruikers om de tuin werden geleid een reeks verborgen PowerShell-commando's uit te voeren op hun systeem. Deze commando's laden in de praktijk een downloader, die op zijn beurt de Lumma C2 infostealer op het systeem installeert.

Voor het opzetten van ClickFix-aanvallen gebruiken aanvallers diverse methoden. Enkele voorbeelden zijn spearphishing en social engineering voor het verleiden van gebruikers om op malafide links te klikken en malafide advertenties op popups te serveren of gebruikers direct door te sturen naar malafide websites. Denk echter ook aan het opzetten van phishingwebsites, het toevoegen van bijvoorbeeld een valse reCAPTCHA aan een legitieme gecompromitteerde website of spam op social media.