روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین دارند به طور فزاینده‌ای از تکنیک ClickFix برای آلوده کردن کامپیوترهای ویندوز استفاده می‌کنند تا کاربران مجبور شوند به طور دستی اسکریپت‌های مخرب را اجرا کنند. استفاده از این تاکتیک اولین بار بهار 2024 مشاهده شد. از آن زمان به بعد، مهاجمین برای کارکرد این تاکتیک کلی سناریو دست و پا کردند.

ClickFix چیست؟

تکنیک ClickFix در اصل تلاشی است برای اجرای فرمانی مخرب روی کامپیوتر قربانی و تمام نقطه اتکایش به تکنیک‌های مهندسی اجتماعی است. به هر بهانه و دلیلی، مهاجمین کاربر را مجبور می‌کنند خط فرمانی بلند (در بیشتر موارد یک اسکریپت پاورشل) را کپی و در پنجره Run سیستم پیست کنند و بعد enter را بزنند که در نهایت این کار به دستکاری سیستم می‌انجامد. حمله معمولاً با یک پنجره پاپ‌آپ آغاز می‌شود که به‌صورت شبیه‌سازی‌شده یک اعلان درباره‌ی مشکل فنی نمایش می‌دهد. برای رفع این مشکل، کاربر باید چند مرحله ساده را انجام دهد که در اصل به کپی کردن یک شیء و اجرای آن از طریق برنامه Run ختم می‌شود. با این حال، در ویندوز ۱۱، پاورشل را می‌توان از نوار جست‌وجوی برنامه‌ها، تنظیمات و اسناد نیز اجرا کرد؛ این نوار با کلیک روی آیکونی که نشان سیستم عامل است باز می‌شود، بنابراین گاهی اوقات از قربانی خواسته می‌شود تا چیزی را در آن‌جا کپی کند.

این تکنیک به دلیل ماهیت آن نام ClickFix را به خود گرفته است، چرا که معمولاً اعلان نمایش داده‌شده شامل یک دکمه است که نام آن به نحوی به فعل "رفع کردن" (مانند: Fix، How to fix، Fix itو غیره) مربوط می‌شود. کاربر باید روی این دکمه کلیک کند تا مشکل ادعاشده را رفع کند یا دستورالعمل‌هایی برای رفع آن ببیند. با این حال، وجود این دکمه الزامی نیست — لزوم اجرای کدی خاص ممکن است با دلایلی مانند بررسی امنیت رایانه یا تأیید اینکه کاربر ربات نیست توجیه شود. در چنین مواردی ممکن است دکمه‌ی Fix حذف شود.

طرح کلی این روش ممکن است در موارد مختلف کمی متفاوت باشد، اما مهاجمان معمولاً دستورالعمل‌هایی به این شکل به قربانی می‌دهند:

1. روی دکمه کلیک کنید تا کدی که مشکل را حل می‌کند کپی شود؛
2. کلیدهای ترکیبی [Win] + [R]را فشار دهید؛
3. کلیدهای [Ctrl] + [V]را فشار دهید؛
4. کلید [Enter]را بزنید.

اما در واقع چه اتفاقی می‌افتد؟
اولین اقدام (کلیک روی دکمه برای کپی کد) اسکریپتی نامرئی را در کلیپ‌بورد کاربر کپی می‌کند. دومین اقدام (فشار دادن کلیدهای [Win] + [R]) پنجره‌ی Run را باز می‌کند که در ویندوز برای اجرای سریع برنامه‌ها، باز کردن فایل‌ها و پوشه‌ها و وارد کردن دستورها طراحی شده است. در مرحله‌ی سوم (فشردن [Ctrl] + [V])، اسکریپت پاورشل از کلیپ‌بورد در پنجره‌ی Run جای‌گذاری می‌شود. در نهایت، با مرحله‌ی چهارم (فشار دادن کلید [Enter])، این کد با سطح دسترسی فعلی کاربر اجرا می‌شود.

نتیجه‌ی اجرای این اسکریپت، دانلود و نصب بدافزار بر روی رایانه است — که نوع محتوای مخرب آن بسته به کمپین حمله متفاوت خواهد بود. در نتیجه، آنچه رخ می‌دهد این است که کاربر، خود اقدام به اجرای اسکریپتی مخرب بر روی سیستمش می‌کند و به این ترتیب، رایانه‌ی خودش را آلوده می‌سازد.

حملات رایج با استفاده از تکنیک  ClickFix
گاهی مهاجمان وب‌سایت‌هایی مخصوص به خود ایجاد می‌کنند و با استفاده از روش‌های مختلف، کاربران را به سمت آن‌ها هدایت می‌کنند. یا اینکه وب‌سایت‌های موجود را هک کرده و آن‌ها را مجبور می‌کنند پنجره‌ای پاپ‌آپ با دستورالعمل‌هایی خاص نمایش دهند. در موارد دیگر، این دستورالعمل‌ها تحت عناوین مختلف از طریق ایمیل، شبکه‌های اجتماعی یا حتی پیام‌رسان‌ها ارسال می‌شوند. در ادامه چند سناریوی رایج برای استفاده از این تکنیک در حملات را می‌خوانید:

1. عدم نمایش صفحه و نیاز به به‌روزرسانی مرورگر
   در این سناریوی کلاسیک، بازدیدکننده صفحه‌ای را که انتظار داشت نمی‌بیند و به او گفته می‌شود برای مشاهده صفحه، باید یک به‌روزرسانی مرورگر نصب کند.
2. خطا در بارگذاری سند در یک وب‌سایت
   تاکتیکی رایج دیگر: به کاربر اجازه داده نمی‌شود یک سند خاص با فرمت Word یا PDF را مشاهده کند. در عوض، پیامی نمایش داده می‌شود که از کاربر می‌خواهد یک افزونه برای مشاهده PDF یا "ورد آنلاین" نصب کند.
3. خطا در باز کردن سند از طریق ایمیل
   در این حالت، مهاجمان فرمت فایل را جعل می‌کنند. قربانی یک آیکون PDF یا DOCX می‌بیند، اما در واقع روی یک فایل HTML کلیک می‌کند که در مرورگر باز می‌شود. ادامه‌ی روند مشابه حالت قبل است: نیاز به افزونه، دستورالعمل مخرب، و دکمه‌ی آشنای "How to fix".
4. مشکل در میکروفون و دوربین در Google Meet یا Zoom
   نوعی غیرمعمول‌تر از تاکتیک ClickFix که در وب‌سایت‌های جعلی Google Meet یا Zoom استفاده می‌شود. کاربر لینکی برای تماس تصویری دریافت می‌کند، اما "اجازه ورود به تماس" را ندارد، چون ظاهراً مشکلی در میکروفون یا دوربین او وجود دارد. سپس پیامی ظاهر می‌شود که توضیح می‌دهد چگونه این مشکل را "رفع" کند.
5. اثبات اینکه ربات نیستید – CAPTCHA جعلی
   در جالب‌ترین نسخه‌ی حمله با استفاده از ClickFix، از بازدیدکننده‌ی سایت خواسته می‌شود یک CAPTCHA جعلی را برای اثبات انسان بودن خود کامل کند. اما اثبات مورد نظر در واقع پیروی از دستورالعمل‌هایی است که در پنجره‌ی پاپ‌آپ نوشته شده‌اند.

راهکارهای امنیتی

ساده‌ترین مکانیزم برای محافظت از شرکت خود در برابر حملاتی که از این تکنیک استفاده می‌کنند شامل بلاک کردن ترکیب کلید win وr در سیستم است- اصلاً یک کارمند در طول روز به ندرت پیش می‌آید به این ترکیب نیاز پیدا کند. با این حال این علاج قطعی نیست چون ما همین الانش هم می‌دانیم که در ویندوز 11، اسکریپت می‌تواند از نوار جستجو لانچ شود و برخی سویه‌های این حمله از دستورالعمل‌های پرجزئیات‌تری استفاده می‌کنند که در آن‌ها به کاربر گفته می‌شود چطور به طور دستی پنجره Run را باز کنند. از این رو، البته که اقدامات پیشگیرانه باید جامع باشند و هدف اصلی‌شان آموزش کارمندان. همچنین باید این را نیز مد نظر داشت که اگر کسی درخواست انجام یک سری امور را به طور دستی در سیستم دارد باید آن را به چشم یک هشدار دید. در ادامه چند توصیه برای نحوه محافظت از کارمندان سازمان خود در برابر حملاتی که از تاکتیک‌های ClickFix استفاده می‌کنند: مطمئن شوید که دارید از راهکارهای امنیتی مطمئن روی همه دستگاه‌های سازمانی استفاده می‌کنید و نیز در سطح دروازه میل نیز محافظت نصب کنید. آگاهی کارکنان از تهدیدات سایبری، از جمله تاکتیک‌های جدید، را با آموزش‌های تخصصی افزایش دهید. برگزاری این‌گونه آموزش‌ها بسیار آسان است — تنها کافی‌ست از پلت‌فرم آموزش امنیتی خودکارکسپرسکی استفاده کنید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.