Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Vesti, 27.06.2025, 12:00 PM

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabosti. Prema najnovijem izveštaju kompanije ESET, u poslednjih šest meseci ClickFix napadi socijalnog inženjeringa porasli su za neverovatnih 517%, i postali drugi najčešći vektor napada, odmah iza fišinga. Izveštaj ESET-a je otkrio da je ova tehnika primećena u skoro 8% svih blokiranih napada u prvoj polovini 2025. godine.

Šta je zapravo ClickFix?

Zamislite sledeću situaciju: otvarate neki sajt, pojavljuje se čudna poruka o grešci ili CAPTCHA koja ne funkcioniše. Zatim slede „uputstva“ - kopirajte ovu skriptu, nalepite je u terminal i sve će biti rešeno.

U tom trenutku, korisnik u nameri da sam reši problem, zapravo pokreće zlonamerni kod na svom računaru. Napadač ne mora da zaobiđe antivirus, jer se napad dešava uz punu saradnju korisnika.

Taktika je toliko efikasna da se sada prodaju čitavi paketi (tzv. ClickFix builderi) koji omogućavaju sajber kriminalcima da naprave sopstvene lažne stranice za ovu vrstu napada.

„Lista pretnji do kojih dovode ClickFix napadi raste iz dana u dan - od infostealer-a, ransomware-a, trojanaca za daljinski pristup, kripto-rudara, alata za post-eksploataciju, do malvera povezanih sa državama“, kaže Jirži Kropač, direktor Laboratorije za prevenciju pretnji u ESET-u.

ClickFix napadi su registrovani na svim većim operativnim sistemima - Windows, macOS i Linux - i to globalno, bez geografskih ograničenja.

U istom izveštaju, ESET je istakao i značajne promene kada je reč o malverima koji se zovu zajedničkim imenom - infostealer (malveri koji kradu korisničke podatke).

Najveći rast beleži SnakeStealer, koji je u prvoj polovini 2025. godine činio čak 20% svih detektovanih infekcija. Reč je o malveru koji se pojavio 2019. godine, koji može da evidentira pritiske na tastere na tastaturi, da ukrade sačuvane lozinke, pravi skrinšotove i krade sadržaj iz clipboard-a. Uspon ovog malvera izgleda da se poklopio sa padom Agent-a Tesla, nekada jednog od najrasprostranjenijih infostealer-a, koji je pao za 57% u prvoj polovini 2025. u poređenju sa prethodnim šestomesečnim periodom. Istraživači veruju da su njegovi operateri izgubili pristup serverima sa izvornim kodom malvera. Nove verzije se, za sada, više ne razvijaju.

U maju 2025. sprovedene su dve velike međunarodne policijske akcije umerene na infrastrukturu poznatih infostealer-a, što će verovatno značajno uticati na situaciju u budućnosti. Zaplenjeno je 2300 domena povezanih sa malverom Lumma Stealer, a ubrzo nakon toga, sprovedena je operacija Endgame protiv infrastrukture Danabot-a.

Pre ove operacije, Lumma Stealer je imao porast aktivnosti od 21%, a Danabot čak 52% u odnosu na prethodnu polovinu godine.

ClickFix je savršen primer kako su ljudi ponekad slabija karika od softvera. Zato edukacija i sumnja postaju ključni alati odbrane jer ne postoji antivirus koji može zaštititi korisnika od njega samog.