Microsoft waarschuwt organisaties en gebruikers voor ClickFix-aanvallen en stelt dat mensen alert moeten zijn op wat ze copy-pasten. Tevens kunnen organisaties het gebruik van het Run (Uitvoeren) venster in Windows door medewerkers blokkeren, aldus het techbedrijf. Bij ClickFix-aanvallen laten criminelen slachtoffers een zogenaamde CAPTCHA zien die moet worden opgelost. De instructies voor het "oplossen" van de zogenaamde CAPTCHA bestaan uit het kopiëren van een commando, dat uitgevoerd op het systeem malware downloadt en uitvoert. Vaak gaat het om infostealer-malware waarmee allerlei inloggegevens van het systeem worden gestolen. Het ClickFix-commando wordt in veel gevallen al automatisch naar het clipboard van de gebruiker gekopieerd, zodat die alleen PowerShell hoeft te starten en paste hoeft te doen.

Gebruikers kunnen op allerlei manieren met ClickFix-aanvallen in aanraking komen, bijvoorbeeld bij het bezoeken van gecompromitteerde of malafide websites. Zo ontdekte Microsoft ClickFix CAPTCHA's op gecompromitteerde WordPress-sites. Ook komt het voor dat aanvallers phishingmails versturen met links die naar ClickFix-websites wijzen, of die HTML-bijlagen bevatten en zo de aanval uitvoeren. De malafide CAPTCHA's doen zich onder andere voor als Googles reCAPTCHA of de oplossing van Cloudflare. Er zijn echter ook varianten gevonden die zich voordoen als de verificatie van een Discord-server.

Naast versies van ClickFix voor Windows zijn er ook versies voor Linux en macOS ontdekt. In een analyse van ClickFix-aanvallen doet Microsoft verschillende aanbevelingen. Zo kunnen organisaties het gebruik van het Run-venster blokkeren als gebruikers dit niet voor hun dagelijkse werkzaamheden nodig hebben. Ook moeten organisaties hun medewerkers trainen om social engineering-aanvallen te herkennen en moeten organisaties ervoor zorgen dat gebruikers weten wat ze copy-pasten. Eind vorig jaar kwam de Amerikaanse overheid ook met een overzicht van ClickFix-aanvallen (pdf).