Атаки, построенные на социальной инженерии, остаются одной из самых коварных и эффективных угроз для пользователей по всему миру. Одной из таких техник является ClickFix — метод, который заставляет жертву самостоятельно выполнить вредоносные команды в системе под предлогом решения проблем или прохождения проверок. За последние годы эта техника показала высокую результативность, а в 2025 году она получила новую, более опасную и изощрённую форму, внедряющуюся через привычный многим пользователям интерфейс Windows — «Проводник». Традиционные ClickFix-атаки основываются на обмане, когда пользователь, посещая мошеннический сайт, сталкивается с сообщениями, которые убеждают его скопировать специальные команды PowerShell в буфер обмена и самостоятельно вставить их для решения якобы возникших проблем. Таким образом, жертва становится активным участником заражения, что значительно снижает вероятность срабатывания автоматических защитных систем.
Чаще всего такие атаки были нацелены именно на Windows, где PowerShell играет ключевую роль в управлении и конфигурации ОС. По данным исследований компании ESET, с конца 2024 года по начало 2025 года количество случаев использования ClickFix в качестве начального вектора атаки увеличилось на рекордные 517%. Это свидетельствует о том, что киберпреступники нашли способ значительно повысить эффективность своей деятельности благодаря адаптации и модернизации техники обмана. Новая модификация ClickFix, получившая название FileFix, разработанная специалистом по информационной безопасности mr.d0x, предлагает использовать более интуитивно понятный для пользователя инструмент — «Проводник» Windows.
Эта перемена кардинально меняет подход, поскольку теперь вирусоносный код скрывается не в командной строке, а в интерфейсе, с которым большинство пользователей работают ежедневно. Суть атаки FileFix начинается с фишинговой страницы, которая убеждает пользователя в необходимости получить или открыть общий доступ к некоему файлу. Чтобы это сделать, человеку предлагают воспользоваться функцией «Проводника» для перехода к указанному пути. При нажатии на кнопку на сайте автоматически запускается Windows File Explorer с имитацией загрузки файла, в процессе которой в буфер обмена копируется вредоносная PowerShell-команда. При этом в адресной строке «Проводника» появляется якобы легитимный путь к файлу, который вовсе не существует в реальности.
Вредоносная команда тщательно скрыта в комментариях командного скрипта, что не позволяет заподозрить обман даже внимательного пользователя. Именно это сочетание вызывает особенную опасность, поскольку пользователи зачастую доверяют системному интерфейсу и не ожидают, что он может быть использован для взлома. Важным элементом безопасности Windows в данном сценарии является блокировка загрузок файлов, которая предотвращает случайный выбор каких-либо вредоносных файлов с компьютера пользователя. Разработчик атаки предусмотрел этот момент и интегрировал в код фишинговой страницы механизм, который перехватывает событие выбора файла и немедленно очищает его, чтобы так называемая загрузка являлась лишь формальностью с единственной целью — запуск «Проводника» и получение доступа к командному коду. Такой подход позволяет обойти многие традиционные средства защиты, которые ориентируются на обнаружение запуска PowerShell в командной строке или мониторинг подозрительных процессов.
В данном случае вредоносные действия маскируются под обычные пользовательские операции с файлами, что значительно затрудняет их выявление и блокировку. Эксперты по кибербезопасности уже предупреждают, что подобные техники требуют особого внимания на уровне как пользователей, так и системных администраторов. Прежде всего, важна осведомлённость и обучение пользователей о том, что никакие службы и сайты не должны просить их вручную выполнять команды на компьютере. Даже если эти команды подаются через знакомый интерфейс, не следует выполнять никаких действий без полной уверенности в их безопасности. Технические специалисты рекомендуют использовать комплексные средства защиты, которые умеют анализировать поведение приложений и детектировать аномалии, связанные с неожиданным запуском «Проводника» и копированием в буфер обмена подозрительных команд.
Регулярное обновление антивирусных баз и системных патчей значительно снижает риск успешной реализации таких атак. Особое внимание уделяется многофакторной аутентификации и изоляции пользовательских данных, чтобы минимизировать последствия возможного заражения. Кроме того, рекомендуется внедрять политики безопасности, запрещающие выполнение произвольных скриптов и команд PowerShell без проверки. Также важно помнить об угрозах, ориентированных на пользователей других операционных систем. Аналогичные техники ClickFix уже зафиксированы в кампаниях, направленных на macOS и Linux, где злоумышленники применяют другие способы убеждения пользователя самостоятельно запустить вредоносные команды.
В целом ситуация с эволюцией ClickFix демонстрирует, насколько быстро меняются инструменты и методы киберпреступников, и как важно оставаться в курсе новых угроз. Привычные и казалось бы безобидные интерфейсы, такие как «Проводник» в Windows, могут быть использованы в качестве инструмента атаки, если пользователи не будут обладать достаточной цифровой гигиеной и осторожностью. Противостоять таким атакам возможно только комплексным подходом: с одной стороны, это современные средства защиты и мониторинг, а с другой — постоянное обучение и повышение уровня осведомлённости конечных пользователей. Только совместными усилиями можно уменьшить риски и обеспечить безопасность цифровой среды, особенно учитывая устойчивый рост количественных и качественных показателей подобных атак, отражённых в исследованиях ведущих компаний. В перспективе следует ожидать дальнейшее усложнение техник социальной инженерии и попыток маскировки вредоносных операций в системных компонентах.
Поэтому вводить в практику проактивные меры и регулярно следить за обзорами угроз — залог сохранения безопасности и конфиденциальности личных и корпоративных данных. Таким образом, изменение техники атак ClickFix и появление FileFix — очередное серьёзное предупреждение всем, кто пользуется Windows. Внимательность, понимание рисков и применение лучших практик по безопасности помогут избежать попадания в сети злоумышленников и сохранить свои данные в безопасности.
