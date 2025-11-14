V uplynulých měsících se ve světě kyberzločinu rozšířil podvod známý jako ClickFix. Rychlý a chytrý způsob, jak infikovat počítače obchází většinu antivirových nástrojů a je tak přesvědčivě maskovaný, že mu mohou podlehnout i opatrní uživatelé. Zneužíván je jak ve Windows, tak v macOS.
Podvod často začíná nevinně. Oběti mohou obdržet e-mail od hotelu, ve kterém mají reálnou rezervaci, zprávu na WhatsAppu nebo dokonce kliknout na něco, co vypadá jako legitimní výsledek vyhledávání v Googlu.
Zpráva nebo webová stránka pak zobrazí CAPTCHA výzvu nebo jiné zdánlivě rutinní potvrzení. Po jeho dokončení je uživatel vyzván, aby zkopíroval řádek textu a zadal jej jako příkaz do dialogového okna Spustit či do Windows Terminal.
Příkaz pak tiše připojí počítač uživatele k serveru ovládanému podvodníky, stáhne malware a automaticky jej bez jakéhokoliv dalšího upozornění nainstaluje. Po infikování oběti často přijdou o citlivá data, jako jsou hesla nebo přihlašovací údaje k peněžence s kryptoměnou. Bezpečnostní experti tvrdí, že množství ClickFix podvodů v poslední době prudce roste.
„Ukazuje to, že využívání malvertisingu a techniky jednorázového instalačního příkazu k distribuci programů pro krádež informací zůstává mezi pachateli elektronické kriminality oblíbené,“ píší ve svém reportu analytici společnosti CrowdStrike. „Propagace falešných škodlivých webových stránek podporuje větší návštěvnost stránek, což vede k většímu počtu potenciálních obětí. Jednorázový instalační příkaz pak umožňuje pachatelům přímo nainstalovat spustitelný soubor do počítače oběti a obejít kontrolní mechanismy.“
Některé útoky dokonce mění nastavení systému, aby zajistily spuštění malwaru při každém restartu počítače.
Společnost Sekoia pro změnu zdokumentovala hackerskou kampaň, kdy útočníci nejdřív nabourali účty na platformách typu Booking, následně kontaktovali hosty s nevyřízenými rezervacemi a pomocí skutečných údajů o rezervaci se tvářili jako legitimní. Když oběti postupovaly podle pokynů k „ověření“ své rezervace, nevědomky si nainstalovaly malware známý jako PureRAT.
Bezpečnostní společnost Push Security také objevila stránky ClickFix, které se přizpůsobují operačnímu systému návštěvníka a podle toho dodávají payloady pro Windows nebo macOS.
Mnoho z těchto útoků využívá binární soubory Microsoftem označované jako LOLbins, které místo stahování tradičních malwarových souborů zneužívají důvěryhodné systémové nástroje. Díky tomu je antivirový software mnohem hůř detekuje.
