Falske CAPTCHA-tjek bruges til at få brugere til at installere malware

Eskil Sørensen
07.17.2026 10:14
ClickFix-teknikken vinder frem som en effektiv metode til kompromittering af systemer ved at få brugere til selv at afvikle skadelig kode

En stigende andel af moderne cyberangreb begynder ikke med udnyttelse af tekniske sårbarheder, men med manipulation af brugeren. En af de teknikker, der i stigende grad anvendes til initial kompromittering, er ClickFix, hvor falske CAPTCHA-kontroller bruges til at overtale brugere til selv at udføre kommandoer, der installerer malware.

Den seneste anvendelse af teknikken er observeret i kampagner fra den russisktilknyttede hackergruppe Sandworm mod ukrainske mål. 

Det skriver The Record

Brugeren bliver angrebskædens første led

I de observerede kampagner vises den falske CAPTCHA på kompromitterede websites. Brugeren får indtryk af, at der skal gennemføres en ekstra sikkerhedskontrol for at få adgang til indholdet.

I stedet for en traditionel verifikation præsenteres offeret for instruktioner om at åbne Windows' kommandolinje eller Kør-funktion og indsætte en PowerShell-kommando. Når kommandoen afvikles, hentes yderligere kode fra angriberkontrolleret infrastruktur, hvorefter den egentlige kompromittering kan begynde.

Metoden adskiller sig fra klassiske angreb ved, at brugeren selv udfører den handling, der giver angriberen adgang til systemet. Dermed omgår angriberen behovet for at udnytte egentlige softwarefejl.

Malware installeres i flere trin

Ifølge den ukrainske cybersikkerhedsmyndighed CERT-UA anvendes en malwarekomponent med navnet GhettoVibe som første trin i kompromitteringen. Efterfølgende kan værktøjet ScoutCurl installeres for at indsamle information om den kompromitterede enhed, herunder systemoplysninger, installeret software, filer og browserdata.

Forskerne har desuden observeret malware-loaderne FluidLeech og LoadLoop. Særligt FluidLeech er blevet forklædt som software til fjernelse af antivirusprogrammer.

Den indsamlede information giver angriberne mulighed for at vurdere værdien af det kompromitterede system og beslutte, om der skal indsættes yderligere værktøjer eller malware.

Social engineering frem for sårbarheder

En væsentlig styrke ved ClickFix er, at teknikken bygger på handlinger, som brugere allerede er vant til at udføre. CAPTCHA-løsninger og andre former for sikkerhedsverifikation er blevet så almindelige, at mange brugere instinktivt følger instruktionerne.

Samtidig udnytter angrebet legitime systemværktøjer som PowerShell, der normalt anvendes til administration af Windows-systemer. Det gør aktiviteten vanskeligere at skelne fra legitim brug og reducerer behovet for avancerede exploits eller kostbare zero-day-sårbarheder.

CERT-UA har registreret teknikken på mere end ti kompromitterede websites i løbet af juni og juli. Selvom metoden er teknisk simpel, viser den, at effektiv kompromittering ikke nødvendigvis kræver sofistikerede sårbarheder. I mange tilfælde er det fortsat tilstrækkeligt at få brugeren til selv at udføre den afgørende kommando.

Krigen mellem Rusland og Ukraine fungerer ofte som en arena for afprøvning og videreudvikling af nye metoder inden for cyberoperationer og elektronisk krigsførelse. Erfaringer og teknikker, der først ses i konflikten, finder ofte senere vej til det bredere trusselslandskab.

Information