Ten niebieski ekran to nie aktualizacja Windows 11. Jedno kliknięcie i stracisz dane

Cyberprzestępcy znaleźli sposób, by przekształcić zaufanie użytkowników w skuteczne narzędzie ataku. Nowa fala kampanii ClickFix udaje pełnoekranową aktualizację systemu Windows i zmusza ofiarę do samodzielnego uruchomienia złośliwego kodu.

Atak został po raz pierwszy opisany przez Daniela B., badacza z brytyjskiej Narodowej Służby Zdrowia. Jak ustalono, złośliwa kampania jest aktywna od kilku tygodni i działa z domeny groupewadesecurity[.]com. Wystarczy samo wejście na stronę, by przeglądarka wyświetliła ekran, który wygląda jak oficjalny komunikat aktualizacji systemu Windows.

Ekran, któremu ufa każdy użytkownik

Fałszywa aktualizacja przejmuje cały ekran, wykorzystując interfejs API trybu pełnoekranowego w przeglądarkach. Użytkownik widzi znajomy niebieski ekran z paskiem postępu, a na nim polecenia tekstowe, które mają rzekomo pomóc w zakończeniu procesu instalacji.

Instrukcja nakazuje wciśnięcie kombinacji klawiszy Windows + R, co otwiera w systemie Windows okno „Uruchom”. W tym momencie złośliwy kod jest już skopiowany do schowka, a kolejne polecenie na ekranie – „CTRL + V” i Enter – kończy proces infekcji. Użytkownik sam uruchamia pobrany z sieci fragment kodu, który łączy komputer z serwerem hakera.

W erze, w której systemy coraz częściej same pobierają i instalują poprawki, użytkownik rzadko zastanawia się nad autentycznością procesu. ClickFix to przypomnienie, że wciąż najłatwiej złamać człowieka, nie system.

Ten rodzaj ataku nie wykorzystuje luk w systemie ani błędów przeglądarki. Zamiast tego gra na zaufaniu i przyzwyczajeniach. Ekran aktualizacji Windows jest elementem, który widział niemal każdy użytkownik, dlatego nie wzbudza podejrzeń.

ClickFix – stara metoda w nowej formie

Technika ClickFix nie jest nowa. Od ponad roku stanowi ulubione narzędzie cyberprzestępców. Wcześniejsze kampanie podszywały się pod strony z testami CAPTCHA, komunikaty błędów Chrome lub fałszywe panele administracji systemowej. Teraz autorzy ataków poszli o krok dalej, tworząc symulację środowiska systemowego, która wygląda niemal identycznie jak oryginał.

Celem ClickFix nie jest zainstalowanie złośliwego oprogramowania automatycznie. To użytkownik wykonuje całą pracę, przekonany, że pomaga systemowi. Takie ataki są wyjątkowo trudne do wykrycia przez tradycyjne oprogramowanie antywirusowe, które traktuje działania użytkownika jako świadome.

Eksperci z firmy ESET ostrzegają, że kampanie ClickFix coraz częściej kończą się infekcjami typu ransomware, trojanami zdalnego dostępu, kryptominerami czy oprogramowaniem szpiegowskim. W wielu przypadkach ślady wskazują na grupy cyberprzestępcze działające z terytoriów państwowych.

Granica między aktualizacją a oszustwem

Daniel B. z NHS podkreśla, że żaden legalny komunikat systemowy ani strona internetowa nie wymaga od użytkownika wpisywania poleceń przez okno „Uruchom”. Jeśli taki komunikat się pojawi, należy natychmiast zamknąć kartę lub okno przeglądarki.

Fałszywy ekran można łatwo wyłączyć, naciskając klawisz ESC lub zamykając przeglądarkę. Google Chrome automatycznie wyświetla ostrzeżenie, gdy strona przechodzi w tryb pełnoekranowy, ale wielu użytkowników ignoruje te sygnały, uznając je za element systemu.

Atak jest prosty, ale skuteczny. Nie wymaga przełamywania zabezpieczeń, a jedynie odrobiny nieuwagi. Każdy krok – od wciśnięcia kombinacji klawiszy po uruchomienie polecenia – wykonuje użytkownik w pełnym przekonaniu, że działa zgodnie z zaleceniami systemu.

Iluzja bezpieczeństwa w erze automatyzacji

ClickFix pokazuje, jak cienka stała się granica między wygodą a zagrożeniem w świecie cyfrowym. Użytkownicy nauczyli się ufać komunikatom systemowym i instrukcjom na ekranie. Wystarczyło więc przenieść ten język interakcji na grunt przeglądarki, by stworzyć idealny scenariusz ataku.

Specjaliści ds. bezpieczeństwa wskazują, że szkolenia i świadomość użytkowników są dziś równie istotne jak zapory i antywirusy. Atak ClickFix nie wykorzystuje błędów technicznych, ale psychologiczne. Działa, bo ludzie reagują automatycznie na znane im wzorce zachowań.

Nowa fala socjotechnicznych oszustw

Z raportów wynika, że liczba kampanii ClickFix wzrosła gwałtownie w drugiej połowie roku. Eksperci przewidują, że technika ta stanie się jednym z dominujących narzędzi w arsenale cyberprzestępców.Hakerzy zaczęli wykorzystywać ją również w fałszywych aktualizacjach oprogramowania biurowego, sterowników graficznych czy komunikatorów. Wystarczy jedno kliknięcie, by komputer uruchomił kod pobrany z nieznanego źródła.