CYBER

ClickFix — כשהאתר משכנע אתכם להריץ את המתקפה בעצמכם 🎣💻

7 דק׳ קריאהמכללת נטמי
ClickFix — כשהאתר משכנע אתכם להריץ את המתקפה בעצמכם 🎣💻

ClickFix זו לא חולשה טכנית קלאסית. זו הנדסה חברתית טהורה שמנצלת את המשתמש בתור מנגנון ההרצה. במקום לשלוח קובץ מצורף או לנצל CVE — התוקף פשוט מציג למשתמש עמוד שנראה כמו Cloudflare / CAPTCHA / ״Verify you are human״, ומבקש ממנו לבצע ״תיקון״ קטן.

השרשרת בשלושה שלבים תמימים לכאורה

  • לפתוח Run / Terminal / PowerShell
  • להדביק פקודה שהאתר סיפק
  • ללחוץ Enter

וזהו — המשתמש הפך להיות ה-Execution Vector. הוא הריץ את הפקודה, הוא הוריד את הסקריפט, הוא בעצם אישר את התקיפה. בלי אנטי-וירוס שצריך לעקוף, בלי חולשה טכנית שצריך לפרוץ.

אנטומיה של תקיפה שחקרתי

  • המשתמש גולש לאתר לגיטימי שהתחזה למותג מוכר.
  • מוצג עמוד אימות מזויף בסגנון Cloudflare.
  • הוא מקבל הוראה ״לאמת אנושיות״ ע״י פתיחת PowerShell והדבקת פקודה.
  • הפקודה מפעילה PowerShell ומורידה סקריפט מרוחק.
  • הסקריפט מוריד קובץ בסיומת תמימה שנראית כמו תמונה.
  • בפועל — הקובץ הוא Shellcode שנטען ישירות לזיכרון.
  • ה-Shellcode מוריד Payload שמוזרק לתהליך לגיטימי של Windows.
  • מזהים תקשורת C2 ויכולות שתואמות ל-Infostealer / RAT.

החלק המפחיד — מה הקוד מסוגל לגנוב

  • 🔑 סיסמאות מהדפדפן, Cookies ו-Session Tokens
  • 💬 נתוני Telegram, Discord ו-Steam
  • 💰 ארנקים והרחבות קריפטו
  • 🔐 שימוש ב-DPAPI לפענוח סודות מקומיים
  • 📷 צילומי מסך
  • 🎛️ הרצת פקודות מרחוק והורדת Payloads נוספים
  • 🌐 תקשורת רציפה מול שרת C2

למה זה עובד?

כי זה עוקף את כל הבקרות הטכניות בעדינות: הפקודה נראית ״אבטחתית״ (Verify, Challenge, Cloudflare), הקובץ יורד עם סיומת תמימה, ההרצה בזיכרון בלבד — כדי לצמצם עקבות בדיסק — והכל תוך שימוש בכלים לגיטימיים של Windows: PowerShell ותהליכי מערכת (Living off the Land).

המשתמש לא ״נפל על קובץ״ — הוא שוכנע להפוך בעצמו למנגנון ההרצה. וזו בדיוק הסיבה ש-ClickFix כל כך אפקטיבית.

כלל זהב — לזכור ולשנן

אם אתר כלשהו מבקש מכם לפתוח Run, CMD, Terminal או PowerShell ולהדביק פקודה — עצרו מיד. גם אם זה נראה כמו Cloudflare. גם אם כתוב ״Verify״. גם אם כתוב ״Security check״. גם אם יש אייקון ירוק. גם אם זה באתר שאתם מכירים. אתרים לגיטימיים לא צריכים שתפתחו PowerShell כדי להוכיח שאתם בני אדם.

נתקלתם במקרה כזה? ככה מגיבים

  • לא לפתוח טרמינל ולא להדביק את הפקודה.
  • לסגור את העמוד ולנקות היסטוריה.
  • לצלם מסך אם אפשר — לצורך תיעוד.
  • לדווח לצוות IT / אבטחת מידע / בעל האתר.
  • להפעיל MFA בכל חשבון שתומך.
  • לעקוב אחרי פעילות חריגה בדוא״ל, ברשתות ובארנקים.

הלקח לצוותי אבטחה

IOC יתחלף. דומיין יתחלף. ה-Payload יתחלף. אבל הדפוס — משתמש שמריץ PowerShell שהורד מהרשת — זה הסיגנל החשוב. חובה שילוב של: מודעות משתמשים + טלמטריה איכותית + Threat Hunting מבוסס התנהגות. בלי זה, גם ה-SIEM הכי יקר לא יעזור.

רוצים להיות אלו שמזהים את זה קודם?

התקפות כמו ClickFix הן היום-יום של אנליסטי SOC, חוקרי מאלוור ואנשי Blue Team. בקורס InfoSec של Umbrelix לומדים לזהות דפוסים, לקרוא Shellcode, לחקור אירועים, להריץ Threat Hunting אמיתי — עם הכלים ובגישה של החוקרים בשטח. אם אתם רוצים לעבור מ״משתמש שמתגונן״ ל״חוקר שצד תוקפים״ — קורס InfoSec הוא הצעד הבא שלכם.

רוצים להתמקצע?

הפוסט הזה הוא רק טעימה. הקורס המלא של InfoSec — אבטחת מידע ילמד אתכם הכל מא׳ עד ת׳.