Ny social engineering-metode omgår traditionelle sikkerhedsforanstaltninger

En ny metode har tiltrukket sig statsstøttede aktørers opmærksomheden. Det drejer sig om den såkaldte ClickFix, som er en social engineering-teknik, hvor brugere bliver narret til at kopiere og indsætte ondsindet kode i deres eget system – hvilket typisk sker via Windows' "Kør"-dialog. 

Denne historie er blevet bragt i TechRadar for et par dage siden, der har funden den i en rapport fra sikkerhedsfirmaet Proofpoint. 

Her fremgår det, at et angreb typisk starter med en falsk fejlmeddelelse eller CAPTCHA, der opfordrer brugeren til at "løse et problem" ved at følge instruktioner, som i virkeligheden aktiverer malware. Metode er blevet observeret i phishing-kampagner, hvor angribere udgiver sig for at være legitime tjenester som Booking.com eller Google Meet. 

Statsstøttede grupper adopterer ClickFix

Ifølge rapporten fra Proofpoint har flere statsstøttede trusselsaktører taget ClickFix i anvendelse i deres kampagner i slutningen af 2024. Blandt disse er Kimsuky fra Nordkorea, MuddyWater fra Iran og de russisk-tilknyttede grupper APT28 og UNK_RemoteRogue. Disse grupper skal angiveligt anvende ClickFix som en erstatning for traditionelle malware-installationsmetoder, hvilket gør det sværere for sikkerhedssystemer at opdage og blokere angrebene.

Effektivitet og udbredelse

ClickFix har ifølge TechRadar vist sig at være en effektiv metode, hvilket har ført til dens udbredelse blandt både statsstøttede og kriminelle aktører. Teknikken udnytter som så mange teknikker brugernes tillid og manglende tekniske viden. Angrebene er blevet observeret på tværs af forskellige platforme og tjenester, og metoden er blevet tilpasset til både Windows og macOS-systemer.

Anbefalingen for at imødegå angrebet er følgende: Vær skeptisk over for uventede fejlmeddelelser eller CAPTCHA-prompt, der beder om at kopiere og indsætte kode.