„ClickFix”: ryškiausia 2025 m. gegužės kenkėjiškų programų banga  

Išskirtinė gegužės grėsmė buvo didelio masto „ClickFix” kampanija. Ši veikla daugiausia buvo stebima taikantis į viešąsias ir privačias organizacijas Portugalijoje – ypač vyriausybės, finansų ir transporto sektoriuose.  

Šios atakos atspindi poslinkį nuo sudėtingo programinės įrangos išnaudojimo link tiesioginio vartotojų manipuliavimo:  

• Masalas: Kampanijos užkrėtimo grandinė prasideda sukčiavimo el. laiškais su kenkėjišku ZIP priedu. ZIP faile esantis HTML failas nukreipdavo aukas į kenkėjišką svetainę, imituojančią teisėtą Portugalijos mokesčių instituciją.  
• Mechanizmas: Apsilankiusioms aukoms suklastotoje svetainėje buvo pateikiamas netikras dokumento ar programinės įrangos diegimo puslapis. Jos buvo raginamos nukopijuoti „PowerShell” komandą ir ją rankiniu būdu vykdyti „Windows” dialogo lange „Vykdyti”.  
• Variacijos: Nors Portugalijos kampanija buvo orientuota į mokesčių dokumentus, kiti pasauliniai „ClickFix” atvejai naudojo skirtingas socialinės inžinerijos taktikas. Kai kuriais atvejais vartotojai buvo apgauti vykdyti komandas siekiant „ištaisyti” neva sugedusią programinę įrangą (pavyzdžiui, netikrą „Chrome” ar „Microsoft Word” klaidą) arba išspręsti netikrą CAPTCHA iššūkį.  
• Kenkėjiškas komponentas: Portugalijos kampanijoje pagrindinis  virusas buvo „Lampion” – bankinis Trojos arklys / informacijos vagystės programa. Tačiau pasauliniu mastu su šia technika taip pat buvo naudojama „Lumma Stealer”, nuotolinės prieigos Trojos arklių („Xworm” ir „AsyncRAT”) bei kitų modulinių kenkėjiškų programų platinimui. 

„ClickFix” banga parodė, kad užpuolikai apeina tradicinę perimetro apsaugą išnaudodami vartotojų norą patiems šalinti sistemos trikdžius – iš esmės naudodami teisėtus administravimo įrankius („PowerShell”) užmaskuotam kodui vykdyti.  

Kas dar įvyko 2025 m. gegužę?  

1. Nenuilstantis scenarijųir teisėtų sistemos įrankių piktnaudžiavimas (angl. „living off the land”) – be „ClickFix“, užpuolikai ir toliau naudojo teisėtus scenarijų kūrimo karkasus (angl. scripting frameworks), siekdami išvengti aptikimo. Ataskaitose buvo akcentuojamas „AutoIt“ kompiliuotų kenkėjiškų programų paleidiklių (angl. droppers; pvz., „DarkCloud Stealer“) naudojimas apgaulingų el. laiškų kampanijose, nukreiptose prieš vyriausybės ir technologijų sektorius Nyderlanduose ir Vengrijoje. Šie įrankiai leidžia grėsmių vykdytojams kurti lengvas, sunkiai aptinkamas kenkėjiškų programų pristatymo grandines, kurios susilieja su įprastu administraciniu srautu. 
2. Išpirkos reikalaujančios programos ir duomenų nutekėjimai. Nors išpirkos reikalaujančių programų grupės išliko aktyvios, duomenų vagystė iršantažasužėmė pagrindinę vietą, aplenkdami vien šifravimo atakas. Svarbiausi gegužės pažeidimai apėmė didelio masto duomenų nutekėjimas, paveikusį 26,5 milijono Pietų Korėjos operatoriaus „SK Telecom” vartotojų, bei duomenų brokerio „LexisNexis” pažeidimą. Šie incidentai pabrėžia, kad prisijungimo duomenų vagystė ir ilgalaikė prieiga užpuolikams išlieka svarbesni už momentinį veiklos sutrikdymą.  
3. Geopolitinis konfliktas ir įtakos operacijos.gegužę kibernetinė erdvė ryškiai atspindėjo realią geopolitinę įtampą: 

• DDoS atakos: Prorusiškos grupės, tokios kaip „NoName057(16)”, vykdė trikdančias DDoS atakas prieš viešąsias ir privačias paslaugas Nyderlanduose (atsakant į karinę pagalbą Ukrainai) ir Rumunijoje (nukreiptas prieš vyriausybės portalus rinkimų metu).  

• Dezinformacija: Operacijos buvo nukreiptos prieš gegužės 18 d. parlamento rinkimus Portugalijoje – botų tinklai stiprino konkrečius politinius naratyvus.  

• Šnipinėjimas: Septynios ES valstybės narės oficialiai pasmerkė Rusijos GRU (APT28) veiklą.  

Pagrindinės išvados  

• Socialinė inžinerija tampa tokia pat veiksminga kaip ir pažeidžiamumų išnaudojimas – „ClickFix“ įrodo, kad įtikinti vartotojus rankiniu būdu vykdyti komandas yra perspektyvi alternatyva „nulinės dienos“ pažeidžiamumų išnaudojimui. 

• Tapatybė tampa naujuoju saugumo perimetru – plintant informacijos vagystės programoms, tokioms kaip „Lampion“ ir „Lumma“, prisijungimo duomenų apsauga yra itin svarbi. 

• Geopolitika lemia taikinių pasirinkimą – DDoS atakos ir dezinformacija dabar yra standartinės priemonės rinkimų laikotarpiais ir svarbių ES politinių sprendimų metu. 

Žvilgsnis į ateitį  

Organizacijos turėtų sutelkti dėmesį į:  

• Scenarijų (angl. scripts) vykdymo apribojimą – būtina stebėti ir blokuoti nereikalingą „PowerShell” vykdymą (ypač komandas, inicijuotas iš dialogo lango „Vykdyti”).  

• Vartotojų informuotumo didinimą – mokymai turi apimti „ClickFix” masalus. Vartotojai turi būti mokomi, kad teisėti palaikymo puslapiai niekada neprašys kopijuoti kodo į terminalą.  

• Tapatybės apsaugą – daugiafaktorinio autentifikavimo (MFA) ir patikimos prisijungimo duomenų vagystės aptikimo sistemos diegimą.  

2025 m. gegužė parodė, kad šiuolaikinės kenkėjiškų programų bangos ne visada pasiekia mus per sudėtingus pažeidžiamumų išnaudojimus – kartais jos ateina po vieną įtikinamą „ClickFix“ žingsnį.  

Šaltiniai  

• UNIT42: Lampion Is Back With ClickFix Lures  

• CERT-EU: Cyber Brief 25-06 (May 2025) 

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.