NCC-ov mjesečni izvještaj o prijetnjama opisuje rastuću prevalenciju ClickFix napada u divljini
By
- Alex Scroxton,Security Editor
Objavljeno: 17 dec 2025 14:45
Takozvani ClickFix ili ClearFake napadi koji zaobilaze sigurnosne kontrole i koriste nesvjesne žrtve da izvedu cyber napad po svojoj volji rastu krajem 2025., čak i nadmašuju phishing ili clickjacking napade, prema posljednjem mjesečnom izvještaju o prijetnjama NCC grupe.
Prvi identifikovani prije nekoliko godina, ClickFix napadi preplavili su okolinu prijetnji tokom 2024., a njihov obim je porastao za preko 500% u prvih šest mjeseci 2025., rekao je NCC.
Umjesto da se oslanjaju na automatizirane eksploatacije ili zlonamjerne priloge, ClickFix napadi iskorištavaju ljudsku pogrešivost uvjeravajući svoje mete da ručno izvrše napade koristeći alate kao što su PowerShell, Windows Run box ili druge shell uslužne programe nakon što ih namame na kompromitovane web stranice obećavajući lažne upite koji ih upućuju da kopiraju naredbu za dijalog u svoj PowerShe prozor.
NCC je rekao da takvi napadi predstavljaju značajan pomak u društvenom inženjeringu jer žrtve djeluju potpuno dobrovoljno – to je u suprotnosti s phishing napadima u kojima se obmana završava nakon što se predaju akreditivi, ili clickjackingom, gdje se žrtve nesvjesno uključuju.
“Ova promjena dovodi u pitanje tradicionalne modele detekcije jer komanda potiče iz procesa od povjerenja, a ne iz nepouzdanog lanca preuzimanja ili eksploatacije”, napisao je NCC tim.
“Razumijevanje i ublažavanje ClickFix napada je ključno jer može zaobići konvencionalnu odbranu”, rekli su. “Filteri e-pošte, sandboxing i automatizirani URL analizatori ne mogu uvijek označiti zlonamjernu radnju koju krajnji korisnik izvodi ručno. Nakon što se izvrši opterećenje, napadači mogu implementirati RAT-ove, omogućavajući postojanost, prikupljanje vjerodajnica i eventualnu implementaciju ransomware-a.”
Finansijski motivirani sajber kriminalci brzo su se popeli na ClickFix karavan, mnogi od njih rade u većim ekosistemima brokera pristupa kako bi prodavali na kompromitovanim krajnjim tačkama bandama ransomware-a.
Izvještaj opisuje brojne takve ciljane ClickFix operacije. Jedna kampanja, aktivna od aprila 2025. do prije samo nekoliko mjeseci, ciljala je ugostiteljski sektor i navela zaposlene da šire zlonamjerni softver za krađu informacija u više hotelskih lanaca. Ova kampanja koristila je PureRAT trojanac za daljinski pristup (RAT) za krađu akreditiva hotela Booking.com i provođenje nizvodnih e-mail i WhatsApp phishing napada na goste.
Druga kampanja, koju je vodio Kimsuky, akter prijetnje od države Sjeverne Koreje, potaknula je svoje žrtve da kopiraju i zalijepe lažne autentifikacijske kodove u PowerShell nakon što su se predstavljali kao pomoćnik američke nacionalne sigurnosti koji pokušava organizirati sastanke o južnokorejskim pitanjima.
Odbrana od ClickFix napada je uglavnom pitanje pokušaja da se smanji izloženost organizacije zlonamjernim mamama i obmanjujućim odredištima ugrađivanjem alata kao što su URL filtriranje, kontrola reputacije domena, web-filtriranje i sandboxing. Pooštravanje okruženja izvršavanja krajnjih tačaka je takođe neophodno, kao i jačanje svijesti korisnika i upućivanje svih zaposlenih da tretiraju svaku neželjenu instrukciju copy-paste kao pokušaj sajber napada.
Ransomware statistika
Do rasta ClickFix napada došlo je usred pada opšteg obima sajber napada tokom proteklih nekoliko sedmica, sa praćenim ransomware hitovima pali su za 2% u novembru, utvrdio je NCC.
Operacija Qilin se držala kao najaktivnija banda uočena u telemetriji NCC-a, sa 101 napadom, a slijede Cl0p sa 98, Akira sa 81 i INC Ransom sa 49.
Dodatno zapažena u novembru bila je banda DragonForce – NCC joj je pripisao 19 napada tokom tog perioda, iako je i sam preuzeo mnogo više – koja je ove godine postala jedna od istaknutijih aktivnih sajber bandi zahvaljujući oslanjanju na saradnju sa visoko kvalifikovanim filijalama, među kojima su Scattered Spider, hakerski kolektiv i S koji je pogodio mnoge druge.
Iako suradnja između aktera prijetnji nije ništa novo, NCC je rekao da je aktivnost DragonForcea pokazala kako bande mogu maksimizirati takve strategije kako bi ojačale svoje sposobnosti.
Ovo je istovremeno reklo da je DragonForce takođe doneo nešto kao malj konceptu časti među lopovima. U maju je uočeno hakovanje i uništavanje lokacija za curenje podataka rivalskih bandi, a u jednom trenutku je pokrenuta neprijateljska ponuda za preuzimanje ekipe RansomHub-a.
NCC je rekao da ova konkurentnost može odražavati smanjenje tehničkih barijera za učešće u ekosistemu sajber kriminala. Napad na konkurente, sugeriše se, može biti dio strategije odvraćanja kako bi se pridošlice spriječile da se etabliraju.
Ne budi samozadovoljan
“Poslovni lideri ne mogu sebi priuštiti da postanu samozadovoljni,” rekao je Matt Hull, NCC globalni šef obavještajnih podataka o prijetnjama. “Grupe prijetnji se brzo razvijaju, dijele alate i tehnike i već iskorištavaju praznični period, kada budnost često opada.
“Sa novim Zakonom o kibernetičkoj sigurnosti i otpornosti i visokim provalama u M&S, Co-op i JLR [Jaguar Land Rover] ove godine, organizacije su pod sve većom kontrolom kako bi dokazale da imaju snažnu odbranu i planove za reagovanje na incidente”, dodao je.
„Kako se praznici približavaju, budnost na sumnjive aktivnosti i jačanje sigurnosnog položaja je važno kao i uvijek.”
Pročitajte više o upravljanju incidentima kršenja podataka i oporavku
-
NCC: Kako RaaS timovi pomažu Scattered Spider-u da poboljša svoje napade
Autor: Alex Scroxton
-
Aktivnost ransomware-a se smanjila u julu, kaže NCC
Autor: Alex Scroxton
-
Broj napada na ransomware se povećao skoro tri puta u 2024
Autor: Alex Scroxton
-
Taktike raspršenog pauka nastavljaju da se razvijaju, upozoravaju sajber policajci
Autor: Alex Scroxton