Хакеры научились превращать капчу в инструмент атаки

Хакеры научились превращать капчу в инструмент атаки — как работает ClickFix и что с этим делать

С приближением праздников эксперты по кибербезопасности вновь бьют тревогу: фишинговые кампании становятся всё более изощрёнными, а одна из самых хитроумных схем последнего года — ClickFix — превращает привычную проверку «я не робот» в триггер для массового заражения. Достаточно скопировать и вставить одну строку в терминал — и вредоносный код незаметно загружает и запускает на компьютере, минуя большинство традиционных средств защиты.

Кратко о схеме и почему она работает

• Злоумышленники рассылают реалистичные сообщения от имени доверенных сервисов (гостиниц, агрегаторов бронирования и пр.) с поддельной ссылкой.
• Ссылка ведёт на страницу с капчей или имитацией проверки Cloudflare; для «подтверждения, что вы не бот» пользователя просят скопировать короткую строку и вставить её в терминал.
• Вставленная команда запускает удалённый скрипт через штатные утилиты ОС (PowerShell, Bash), который выполняется полностью в памяти и загружает дальнейшее вредоносное ПО.
• Поскольку используются системные инструменты, многие антивирусы и сигнатурные решения не видят этой активности — это сочетание техник «living off the land» (LOLBIN) и fileless-исполнения.

Что уже известно из расследований и СМИ

• Исследователи из Push Security подробно описали несколько вариантов ClickFix: атакующие определяют операционную систему жертвы и подстраивают команду под неё, а полезная нагрузка часто кодируется в Base64 для сокрытия.
• Microsoft подтвердил случаи, когда адаптивные скрипты полностью исполнялись в оперативной памяти, что позволяет обходить антивирусы, ориентированные на файловые артефакты.
• Отчёты аналитических центров и публикации в отраслевых СМИ отмечают распространение этой техники как логичное развитие тренда: с усложнением технической защиты злоумышленники смещают акцент на психологические приёмы и доверие пользователя.

Исторический контекст — не первая волна, но новая эра

• Социальная инженерия как метод обмана известна десятилетиями — от классических писем‑мошенничеств до современных фишинговых кампаний. Известные кейсы показывают, что психологические манипуляции часто эффективнее технических уязвимостей.
• Концепция «living off the land» (использование легитимных инструментов ОС) получила массовое распространение в 2010‑е годы; сообщество LOLBAS и публикации Microsoft документировали подобные приёмы ещё несколько лет назад.
• Файллес‑атаки и исполнение в памяти развивались с начала 2010‑х: наработки предыдущих кампаний (Poweliks и другие) показали, что отсутствие следов на диске серьёзно затрудняет обнаружение.
• Предупреждения о риске копирования и вставки неизвестных команд существовали давно (термин «pastejacking»), но ClickFix впервые масштабно комбинирует это с реалистичными, автоматизированными фишинговыми страницами.

Чем это опаснее обычного фишинга

• Традиционный фишинг обычно требует ввода учётных данных или скачивания файла; ClickFix просит выполнить техническое действие, которое кажется безобидным и даже «правильным».
• Команды исполняются штатными утилитами ОС, что снижает эффективность сигнатурной детекции и многих традиционных антивирусов.
• Метод легко масштабируется: адаптивные скрипты и шаблонные страницы позволяют атакующим размножать кампании с минимальными затратами.

Что рекомендуют специалисты — защита на практике

Для организаций:

• Ввести строгую политику запрета выполнения непроверенных команд сотрудниками: правило «не вставлять команды в терминал» как обязательная норма.
• Развернуть поведенческий EDR и мониторинг выполнения скриптов (включая PowerShell ScriptBlockLogging и интеграцию с AMSI).
• Применять Application Allowlisting, ограничивать права на запуск административных утилит и внедрять ConstrainedLanguageMode для PowerShell.
• Блокировать и инспектировать Base64‑обфусцированные строки и подозрительную сетевую активность.
• Проводить регулярные тренинги по социальной инженерии и моделировать фишинговые атаки, чтобы повысить осознанность персонала.

Для частных пользователей:

• Никогда не вставляйте команды в терминал, полученные по почте, в мессенджере или на случайных сайтах.
• Тщательно проверяйте отправителя и URL; даже известные бренды могут быть скомпрометированы.
• Скачивайте ПО только из официальных магазинов и источников; не запускайте скрипты из браузера без понимания их назначения.
• Обновляйте операционную систему и включайте встроенные средства защиты; используйте многофакторную аутентификацию.

Итог и перспективы

ClickFix — показатель того, как граница между техническим взломом и психологической манипуляцией стирается. Технологические барьеры не исчезают, но злоумышленники всё чаще обходят их, воздействуя на привычки и доверчивость пользователей. В праздничные периоды, когда люди получают больше сообщений от сервисов и чаще принимают решения на ходу, риск резко возрастает. Эффективная защита требует сочетания автоматических средств и регулярного повышения цифровой гигиены у пользователей.

Если хотите, я могу подготовить краткое практическое руководство для сотрудников вашей организации с конкретными правилами и листовкой «Нельзя вставлять команды в терминал» — готова сделать шаблон для рассылки и презентацию для обучения.