ClickFix-атаки: новый вектор социальной инженерии через поддельную CAPTCHA

📋 Кратко

ClickFix — новый метод социальной инженерии, набравший обороты в 2025-2026 годах. Злоумышленники подсовывают жертве поддельную CAPTCHA, которая копирует вредоносный PowerShell-скрипт в буфер обмена. Жертва самостоятельно вставляет команду в окно Выполнить (Win+R) и запускает вредоносное ПО.

В 2025-2026 годах в арсенале киберпреступников появился новый, необычайно эффективный метод социальной инженерии — ClickFix. В отличие от классического фишинга, где жертву заманивают на поддельный сайт и просят ввести пароль, ClickFix использует психологический трюк: жертве показывают поддельную CAPTCHA и просят «подтвердить, что вы не робот». Вместо клика по картинкам пользователь копирует в буфер обмена вредоносную PowerShell-команду, вставляет её в окно «Выполнить» (Win+R) и запускает — буквально самостоятельно устанавливая вредоносное ПО на свой компьютер.

Этот вектор атаки впервые был замечен ещё в начале 2024 года, но к 2026 году он превратился в один из самых массовых методов доставки вредоносного ПО. По данным Splunk Security Content, количество кампаний с поддельными CAPTCHA выросло на 340% за 2025 год. Эксперты SentinelOne называют ClickFix «самой эффективной техникой социальной инженерии на данный момент» — и на то есть причины: для успешной атаки злоумышленнику не нужно эксплуатировать уязвимости, обходить антивирус или взламывать пароли. Жертва делает всю работу сама.

Ключевая статистика ClickFix в 2026: Рост кампаний: +340% за 2025 год (Splunk). Основные полезные нагрузки: Lumma Stealer, RedLine, Vidar, PureLog (информационные воры); XWorm, AsyncRAT, NetSupport, Quasar (RAT). Среднее время от захода на страницу до заражения: менее 30 секунд. Уровень успеха атаки — до 15% среди технически неподготовленных пользователей против 3% у традиционного фишинга.

Как работает ClickFix: анатомия атаки

ClickFix-атака строится по схеме, которая эксплуатирует доверие пользователя к знакомым интерфейсам. Рассмотрим её по шагам:

  1. Приманка. Жертва попадает на скомпрометированный или поддельный сайт через фишинговое письмо, рекламный баннер (malvertising) или SEO-отравленный результат поиска. Сайт может маскироваться под страницу Zoom, Microsoft Teams, Outlook, YouTube или любой популярный сервис.
  2. Поддельная CAPTCHA. На сайте отображается интерфейс, визуально неотличимый от настоящей reCAPTCHA от Google или Cloudflare Turnstile. Пользователь видит знакомую галочку и надпись «I am not a robot».
  3. Копирование в буфер. Когда пользователь нажимает на поддельную CAPTCHA, вредоносный JavaScript на странице копирует предварительно сформированную команду в буфер обмена. Команда выглядит как PowerShell-скрипт.
  4. Инструкция. Сразу после «проверки» сайт показывает пошаговую инструкцию: «Нажмите Win+R, вставьте скопированное (Ctrl+V) и нажмите Enter для завершения верификации». Иногда добавляют «Если ничего не произошло — повторите».
  5. Исполнение. Жертва выполняет инструкцию. PowerShell загружает и запускает полезную нагрузку с удалённого сервера — чаще всего через скрытое окно (-WindowStyle Hidden). Процесс скачивания и установки вредоносного ПО занимает секунды.
Почему это работает: Метод ClickFix обходит сразу несколько уровней защиты. Антивирус не видит угрозы — вредоносный код запускается легитимным PowerShell. Файрвол не блокирует трафик — загрузка идёт по HTTPS с облачных сервисов (Discord CDN, GitHub Gist, Google Drive). MFA не помогает — пароли не воруют, данные не эксфильтруют на этом этапе. Технически пользователь сам, добровольно, выполняет команду.

Полезные нагрузки: что загружают через ClickFix

В отличие от многих других методов доставки, ClickFix не ограничивается одним типом вредоносного ПО. Аналитики Splunk, Proofpoint и SentinelOne фиксируют широкий спектр полезных нагрузок, который зависит от целей атакующей группировки:

Тип нагрузки Примеры Что делает
Информационные воры Lumma, RedLine, Vidar, PureLog Крадут пароли, cookies, криптокошельки, данные автозаполнения
RAT (удалённый доступ) XWorm, AsyncRAT, NetSupport, Quasar Полный контроль над системой, запись экрана, кража файлов
Многостадийные загрузчики ArechClient, PrivateLoader Скачивают и устанавливают дополнительное ПО
Бэкдоры DarkGate, Remcos Обеспечивают постоянный доступ к системе

Особую опасность представляют многостадийные загрузчики. Они могут за одну атаку установить сразу несколько вредоносных программ: стилер для кражи паролей, RAT для удалённого управления и майнер для фоновой добычи криптовалюты. Один ClickFix может превратить компьютер в многофункциональный инструмент для злоумышленника.

Как распространяются ClickFix-кампании

ClickFix-атаки не используют какой-то один канал — злоумышленники применяют комбинацию методов для максимального охвата:

  • Фишинговые письма (41%) — электронные письма с ссылками на поддельные сайты, часто маскирующиеся под уведомления от IT-отдела, службы безопасности или популярных сервисов. Тема: «Ваша учётная запись будет заблокирована», «Обновление безопасности Windows».
  • Malvertising (28%) — вредоносная реклама в Google Ads, Bing Ads и на крупных сайтах. Жертва видит рекламу известного сервиса, переходит по ссылке и попадает на поддельную страницу с ClickFix-CAPTCHA.
  • SEO-отравление (19%) — злоумышленники создают страницы с искусственно завышенным рейтингом в поисковой выдаче по популярным запросам. При переходе пользователь видит вместо контента поддельную CAPTCHA.
  • Компрометация легитимных сайтов (12%) — взломанные WordPress-сайты, форумы и интернет-магазины, на которые внедрён JavaScript-код с ClickFix-скриптом.
Иллюстрация к статье

Реальные кейсы ClickFix-атак 2025-2026

ClickFix — не гипотетическая угроза. За 2025-2026 годы зафиксированы масштабные кампании, затронувшие тысячи организаций:

  • Кампания FakeCAPTCHA (Splunk, 2025-2026): серия атак, нацеленных на пользователей Zoom и Microsoft Teams. Поддельные страницы входа с CAPTCHA распространялись через Google Ads. Основная нагрузка — Lumma Stealer и XWorm RAT. По оценкам Splunk, только за первый квартал 2026 года было зафиксировано более 50 000 попыток заражения.
  • ClickFix через Discord CDN (SentinelOne, 2025): злоумышленники использовали легитимную инфраструктуру Discord для хранения PowerShell-скриптов. Команды, скопированные через поддельную CAPTCHA, загружали вторую стадию с Discord CDN, что позволяло обходить корпоративные прокси и фильтры контента.
  • Кампания с поддельными страницами YouTube (Trend Micro, 2026): сайты, мимикрирующие под YouTube, показывали поддельную CAPTCHA перед «просмотром видео». В реальности запускался RedLine Stealer для кражи cookies и данных автозаполнения, которые затем использовались для захвата аккаунтов Google.

Методы защиты от ClickFix-атак

ClickFix сложнее блокировать, чем традиционный фишинг — атака не использует вредоносные вложения, не эксплуатирует уязвимости и не требует ввода паролей. Однако существуют эффективные методы защиты, построенные на многоуровневом подходе:

1. Технические меры

  • Блокировка PowerShell для обычных пользователей. В корпоративной среде PowerShell должен быть доступен только администраторам. Используйте AppLocker или WDAC (Windows Defender Application Control), чтобы запретить выполнение скриптов из командной строки для непривилегированных пользователей.
  • Ограничение Win+R / Run-диалога. Настройте групповые политики (GPO) для блокировки запуска приложений через Run-диалог для стандартных пользователей.
  • EDR/XDR с правилами на LOLBAS. Современные решения класса EDR (SentinelOne, CrowdStrike, Microsoft Defender for Endpoint) способны обнаруживать аномальное поведение: PowerShell, запущенный из Run-диалога, обращение к Discord CDN или GitHub Gist из скрытого окна. Настройте правила на техники MITRE ATT&CK T1059.001 (PowerShell) и T1204.002 (User Execution — Malicious File).
  • DNS-фильтрация. Блокируйте известные C2-домены, Discord CDN (cdn.discordapp.com) для некорпоративных целей, GitHub Gist и другие сервисы, используемые для хранения вредоносных скриптов.

2. Обучение сотрудников

  • Симуляции ClickFix-атак. Включите ClickFix-сценарии в программу security awareness: отправляйте сотрудникам тестовые фишинговые письма, ведущие на страницу с поддельной CAPTCHA, и отслеживайте, кто выполняет инструкции.
  • Правило «Никогда не копируй команды с веб-страниц». Сотрудники должны знать, что ни один легитимный сервис никогда не попросит скопировать и выполнить PowerShell-команду. Ни CAPTCHA, ни проверка обновлений, ни верификация личности не требуют запуска скриптов через Win+R.
  • Сообщение об инцидентах. Создайте простую процедуру для сообщения о подозрительных страницах (кнопка в браузере, чат-бот в корпоративном мессенджере, email). Быстрое реагирование на первые случаи ClickFix в организации может предотвратить массовое заражение.

3. Процессные меры

  • Мониторинг событий Event ID 4688. Включите логирование создания процессов (Windows Security Audit — Event 4688) и отслеживайте запуск powershell.exe из необычных родительских процессов (explorer.exe из Run-диалога).
  • Блокировка макросов и скриптов в документах. Отключите выполнение макросов в Office-документах из интернета (Group Policy: Block macros from running in Office files from the Internet).
  • Внедрение Zero Trust. В модели нулевого доверия никакой процесс не получает полных прав по умолчанию. Даже если PowerShell запущен, его доступ к сети, дискам и памяти должен быть ограничен правилами.
Чек-лист быстрой защиты от ClickFix:
PowerShell заблокирован для обычных пользователей (AppLocker/WDAC)
EDR/XDR развёрнут и настроен на детекцию LOLBAS-атак
DNS-фильтрация блокирует cdn.discordapp.com и GitHub Gist
Сотрудники обучены правилу не копировать команды с сайтов
Логирование Event 4688 включено и мониторится SIEM
Проведена симуляция ClickFix-атаки в пилотной группе
Макросы из интернета отключены в Office

Перспективы: почему ClickFix будет только расти

ClickFix не просто ещё одна техника атак — это симптом изменения ландшафта угроз. Классические методы защиты (антивирус, брандмауэр, MFA) не работают против атак, которые эксплуатируют не уязвимости, а поведение человека. Более того, ClickFix идеально вписывается в RaaS-модель: разработчики предлагают готовые ClickFix-ландпейджи на даркнет-форумах, а аффилиаты платят за трафик.

По данным аналитиков, в 2026 году ClickFix-атаки станут стандартным инструментом в арсенале киберпреступников — наравне с фишинговыми письмами и эксплойтами. Организациям, которые не подготовились к этому вектору, придётся столкнуться с волной заражений, где жертвы самостоятельно устанавливают вредоносное ПО, а защита бессильна.

Единственная устойчивая стратегия — комбинация технических ограничений (блокировка PowerShell, EDR, DNS-фильтрация) и поведенческой защиты (обучение, симуляции, культура безопасности). ClickFix не обойти одной технологией — но можно сделать так, чтобы атака не достигла цели.

📚 Читайте также

📖 Термины

Deepfake · MFA · Social Engineering · XDR · Фишинг

🔗 Источники