ClickFix, tehnica de inginerie socială ce combina prompturi înşelătoare cu platforme AI, a evoluat recent într‑o ameninţare complexă de atacuri cibernetice. Cercetătorii Huntress au documentat cum atacatorii exploatează încrederea în ChatGPT și Grok pentru a livra malware fără phishing evident sau site‑uri false.
ClickFix evoluat: utilizarea legită a platformelor AI
Atacatorii inițiază conversaţii aparent legitime pe ChatGPT sau Grok, apoi distribuie linkuri care redirecţionează la aceste sesiuni. Prompturile conţin comenzi terminal mascată în paşi tehnici aparent benigni. Utilizatorul copiază şi rulează comanda, crezând că primeste asistenţă oficială.
SEO poisoning și canalele de distribuție
Huntress a identificat trei metode principale de răspândire a linkurilor ClickFix:
– postări pe forumuri slab moderate și grupuri Telegram;
– inserarea în ferme de conţinut pentru a creşte vizibilitatea;
– manipularea algoritmilor de căutare pentru a apărea în primele rezultate Google.
Aceste practici folosesc domenii reale ale platformelor AI, astfel că utilizatorii nu percep riscul.
Exemplu de infectare pe macOS cu malware AMOS
Un utilizator care caută „cum să eliberez spaţiul pe macOS” deschide un link spre o conversaţie ChatGPT predefinită. În cadrul acesteia, se oferă o comandă `osascript` care descarcă și instalează infostealer‑ul AMOS. Malware‑ul colectează parole, portofele crypto și tokenuri de autentificare, fără a declanşa avertismente ale sistemului.
Impactul asupra securităţii digitale
Această variantă ClickFix nu implică site‑uri false și nu declanşează filtrele anti‑phishing. Prin faptul că utilizatorul execută singur comanda, sistemele de protecţie macOS nu pot interveni. Atacul ocoleşte atât mecanismele tehnice, cât şi cele psihologice de apărare ale utilizatorilor.
Recomandări de protecție pentru companii și utilizatori
- Monitorizaţi execuţiile de osascript care solicită acces la credentiale.
- Inspectaţi fişierele ascunse create în directoarele de utilizator.
- Detectaţi conexiuni neobișnuite către domenii externe imediat după rularea scripturilor.
- Interziceţi copierea de comenzi terminal din surse nesigure, chiar dacă provin de la un chatbot cunoscut.
- Educaţi utilizatorii să verifice originea linkurilor AI înainte de a le deschide.
Amenințarea ClickFix reprezintă o schimbare semnificativă în peisajul atacurilor cibernetice, obligând organizaţiile să ajusteze monitorizarea comportamentală și să crească vigilenţa utilizatorilor. Informarea continuă şi actualizarea politicilor de securitate digitală rămân esenţiale pentru a contracara evoluţia acestor tehnici.
