Специалисты компании «Информзащита» отмечают существенное увеличение количества кибератак, применяющих метод социальной инженерии ClickFix. Их удельный вес среди прочих видов атак составил 47%, что вывело данную технику на первое место среди способов первоначального внедрения в корпоративную инфраструктуру за одиннадцать месяцев 2025 года. Такая динамика свидетельствует как об эффективности подхода, так и о его малозаметности для стандартных защитных решений.
Суть ClickFix заключается в том, чтобы обманным путем побудить пользователя скопировать команду – часто из фальшивого всплывающего окна, письма о трудоустройстве или обращения техподдержки – и вставить ее в окно «Выполнить» Windows (Win + R) или терминал, после чего выполняется код через PowerShell или mshta.exe. Данные команды загружают вредоносную полезную нагрузку напрямую в память. Такой механизм не оставляет следов на диске и позволяет избежать обнаружения классическими антивирусами, работающими на основе сигнатур. На этапе получения первоначального доступа ClickFix был использован примерно в 47% всех зарегистрированных атак, опередив фишинг (около 35%), а также иные методы, такие как брутфорс и drive-by-компрометация.
В «Информзащите» указывают на несколько причин роста популярности ClickFix. С одной стороны, массовый переход компаний на удаленный и гибридный режимы работы усилил зависимость сотрудников от цифровых коммуникаций и снизил критичность восприятия всплывающих сообщений, инструкций и оповещений. С другой стороны, злоумышленники активно задействуют генеративный искусственный интеллект для создания правдоподобных текстов и сценариев, в результате чего мошеннические запросы становятся почти неотличимы от легитимных.
По оценке экспертов «Информзащиты», наиболее уязвимым к подобным атакам является финансовый сектор, на который приходится около 28% инцидентов, связанных с социальной инженерией. На втором месте находятся промышленные и энергетические компании (примерно 22%), что объясняется высокой ценностью доступа к их технологическим системам и учетным данным. Третью строчку занимает сфера ИТ и телекоммуникаций – порядка 18%. Также значительную долю (около 15%) составляют организации здравоохранения, а оставшиеся атаки распределяются между образованием, логистикой и розничной торговлей.
«Опасность ClickFix заключается в том, что он ломает устоявшуюся модель защиты, где пользователь рассматривается как пассивная жертва. Мы наблюдаем, что даже хорошо подготовленные сотрудники порой теряют осторожность, если сценарий выглядит реалистично и не содержит очевидных признаков угрозы, например, подозрительных ссылок», – отметил руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.
Результаты эффективных кампаний ClickFix способны нанести значительный ущерб: подобные операции применяются для распространения похитителей информации, троянов для удалённого управления и сетевых червей, что в конечном счёте ведёт к хищению учётных данных, внедрению дополнительного вредоносного кода и закреплению злоумышленников в системе. Для организаций это выливается в остановку работы, утрату конфиденциальных сведений, материальный ущерб и подрыв деловой репутации.
С целью снижения угроз и укрепления защищённости компании перед актуальными рисками, специалисты «Информзащиты» советуют применять всестороннюю стратегию. Фундаментом должно стать повышение осведомлённости персонала: систематические занятия по цифровой безопасности, имитация фишинговых атак и разъяснение рисков копирования команд из сомнительных источников крайне важны для создания надёжного человеческого фактора защиты. Технические решения также имеют первостепенное значение: активация журналирования скриптов PowerShell, применение режима ограниченного языка для выполнения сценариев, а также внедрение систем анализа поведения (к примеру, контроль операций с буфером обмена, сопряжённых с запуском командной строки) способствуют обнаружению аномальной активности до её перерастания в полноценный инцидент.
Крайне необходимо усилить безопасность веб-обозревателей и рабочих станций, запретив доступ буфера обмена в ненадёжных зонах и предотвратив запуск потенциально опасных сценариев. Контекстный анализ событий информационной безопасности, объединяющий действия пользователя с последующими изменениями в системе, значительно увеличивает вероятность своевременного выявления атаки. В завершение, организациям стоит рассмотреть структурные преобразования, такие как внедрение модели нулевого доверия (Zero Trust) и многофакторной проверки подлинности, что уменьшает шансы успешного взлома при первоначальном проникновении.
