חוקרי אבטחת סייבר בחברת Huntress גילו מתקפת נוזקות חדשה המשתמשת בטכניקת ClickFix כדי להפיץ נוזקות. במתקפת סייבר מפתים האקרים קורבנות באמצעות התקנה מזויפת של כלי הגישה מרחוק הלגיטימי AnyDesk, להתקין נוזקה בשם MetaStealer. חשוב מאד להבין כי הטכניקה הקלאסית של ClickFix משכנעת משתמשים לתקן בעיה מזויפת על ידי העתקה והדבקה של פקודה זדונית לתיבת הדו-שיח הפעלה של Windows במחשב שלהם: מתקפת ClickFix מעמידה פנים שהיא פותרת בעיה שאינה קיימת!
במתקפת סייבר זו ציינו החוקרים את השימוש בטכניקה אחרת המכונה 'FileFix', המשתמשת בסייר הקבצים של Windows במקום ב- AnyDesk. מתקפת חדשה זו שייכת למשפחת הונאות הסייבר, מה שהופך אותה למסוכנת ולכזו המסוגלת לעקוף אמצעי אבטחת מידע. המתקפה מתחילה כאשר אדם המחפש באינטרנט את כלי AnyDesk האמיתי, נוחת באתר אינטרנט מזויף. הדף מציג בקשת אימות אנושית מזויפת שנראית כמו כלי האימות CAPTCHA של Cloudflare. ההבדל העיקרי כאן הוא שבמקום לבקש מהקורבן להעתיק ולהדביק פקודה למחשב שלו – השיטה הסטנדרטית להונאת ClickFix, משתמשים ההאקרים בטכניקה חדשה: כאשר לוחץ הקורבן על כפתור 'אמת', מפעיל האתר תכונה נסתרת ב- Windows המפעילה את סייר הקבצים של Windows עם שאילתת חיפוש מיוחדת. פעולה זו מחברת את מחשב הקורבן לשרת מרוחק הנשלט על ידי ההאקרים ושותלת קובץ מסוכן ישירות במחשב שלהם. פרט קטן אך חשוב הוא שההאקרים צריכים לקבל את שם המחשב של הקורבן כחלק מקישור ההורדה, מה שעוזר להם לעקוב אחר הקורבנות שלהם.
הקובץ שהורד מוסווה כמסמך PDF בשם Readme Anydesk.pdf. במציאות, זוהי חבילת התקנה זדונית. כאשר היא נפתחת, היא מבצעת שתי פעולות בו זמנית: היא מתחילה להוריד את יישום AnyDesk הלגיטימי ברקע כדי למנוע חשד וכן, מתקינה בחשאי את נוזקת MetaStealer. נוזקת MetaStealer נועדה לגנוב מידע אישי רגיש. לאחר חדירה מוצלחת למערכת המחשוב, היא מסוגלת לאסוף פרטי גישה (שמות משתמשים וסיסמאות), לגנוב קבצים ואף לגנוב מידע מארנקי קריפטו.
נראה שמתקפת סייבר זו הינה חלק ממגמה רחבה יותר של הונאות תיקון המשלבות תוכנה לגיטימיות עם הנדסה חברתית כדי להתחמק מהגנות מסורתיות. הדבר מדגיש את החשיבות של חינוך משתמשים לאיומי סייבר כדי לעזור לאנשים לזהות הונאות הסייבר ולהימנע מהן.
