Grupul cibernetic APT Lazarus, cunoscut pentru atacuri sofisticate și legat de Coreea de Nord, a trecut la un nou tip de capcană online numită ClickFix. Țintele? Atât instituții guvernamentale, cât și companii din zona tech, dar și utilizatori obișnuiți care pot cădea ușor în plasă.
Cum funcționează păcăleala
ClickFix combină tehnici de phishing cu execuția de comenzi periculoase direct în calculatorul victimei. Totul începe cu un scenariu aparent legitim: o ofertă de angajare, un test tehnic sau o „actualizare urgentă” de software.
Pagina afișată copiază automat în clipboard comenzi PowerShell, iar utilizatorul este îndemnat să le ruleze pentru „a rezolva rapid problema”. În realitate, comenzile instalează malware, trimit date sensibile către serverele atacatorilor și pot oferi acces complet la sistem, precizează Directoratul Național de Securitate Cibernetică (DNSC).
De ce e periculos
Metoda exploatează încrederea oamenilor, trece ușor de filtrele clasice de securitate și poate duce rapid la:
- furt de date și parole;
- instalarea unor backdoor-uri persistente;
- atacuri ulterioare, inclusiv ransomware.
Ce știm despre atacul actual
Adresa IP folosită pentru control: 45[.]159[.]248[.]110
Link periculos: hxxps[://]driverservices.store/visiodrive/nvidiaRelease.zip
Fișierele infectate din arhivă includ executabile și scripturi care rulează comenzi malițioase.
Cum te protejezi:
- Nu rula comenzi primite din surse necunoscute.
- Restricționează PowerShell pentru a permite doar scripturi semnate digital.
- Blochează domeniile și IP-urile suspecte.
- Limitează drepturile utilizatorilor obișnuiți pe sistem.
- Activează autentificarea multi-factor.
- Ține toate aplicațiile și sistemele actualizate.
Ştiri video recomandate
