Ak uvidíš toto okno, zo stránky okamžite odíď. Hackeri vo veľkom zneužívajú Google, Cloudflare a falošné overenia

Falošné overenie cez Google či Cloudflare môže do počítača dostať malvér. Stačí skopírovať príkaz do PowerShellu a útok je hotový.

hacker utok
Zdroj: janews / shutterstock.com

Kybernetickí zločinci opäť prišli s novým spôsobom, ako oklamať používateľov. Tentoraz zneužili dôveru v známe značky Google a Cloudflare. Na prvý pohľad všetko vyzerá dôveryhodne. Na obrazovke sa objaví stránka s overením, ktorá pripomína reCAPTCHA alebo bezpečnostnú kontrolu. Namiesto potvrdenia však dostaneš pokyn, ktorý môže skončiť napadnutím celého počítača.

Bezpečnostní výskumníci z Malwarebytes upozornili, že útočníci využili techniku známu pod názvom ClickFix. Na rozdiel od klasických vírusov tentoraz škodlivý program nespustí samotný útočník. Celý proces dokončí samotná obeť, stačí jediný chybný krok.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

ClickFix ti ukáže „problém“ a hneď ti naň ponúkne riešenie

Podvodná stránka zobrazuje hlásenie, ktoré vyzerá veľmi presvedčivo. Niekedy tvrdí, že potrebuje potvrdiť, že nie si robot. Inokedy upozorní na problém so zvukom v službe Google Meet alebo ponúkne opravu technickej chyby. Následne zobrazí pokyn, aby si otvoril PowerShell vo Windowse a vložil pripravený príkaz.

Na internete sa objavila nová clickfix kampaň, zneužíva google cloudflare aj Ďalšie služby
Zdroj: Malwarebytes

Práve v tejto chvíli sa útok dokončí. Po potvrdení príkazu počítač stiahne ďalší škodlivý kód, ktorý otvorí útočníkom dvere do systému. Výskumníci varujú, že jediná chyba môže nainštalovať programy určené na krádež hesiel, prihlasovacích údajov či ďalších citlivých informácií. Niektoré varianty dokonca poskytnú hackerom vzdialený prístup k zariadeniu alebo stiahnu ďalší škodlivý softvér.

Legitímne CAPTCHA ťa nikdy nebude žiadať, aby si niečo spustil v počítači

Práve dôveryhodný vzhľad patrí medzi najväčšie zbrane útočníkov. Stránky napodobnia dizajn Googlu, Cloudflare alebo iných známych služieb tak presne, že mnohí používatelia si rozdiel vôbec nevšimnú. Bezpečnostní experti však pripomínajú jednoduché pravidlo. Žiadna z týchto spoločností nikdy nepožiada používateľa, aby kvôli overeniu človeka otvoril PowerShell alebo Príkazový riadok a ručne vložil pripravený príkaz. Ak sa podobná výzva objaví, takmer určite pôjde o podvod.

Reklama

Útočníci navyše často pridajú odpočítavanie času, upozornenia na údajnú chybu alebo počítadlo návštevníkov. Také prvky vytvoria pocit naliehavosti a zvýšia šancu, že používateľ prestane premýšľať.

Na internete sa objavila nová clickfix kampaň, zneužíva google cloudflare aj Ďalšie služby
Zdroj: Malwarebytes

Po otvorení zadných vrátok sa užívateľom do PC inštaluje infostealer

Výskumníci zaznamenali viacero kampaní, ktoré využili rovnakú infraštruktúru. Líšili sa iba výsledným škodlivým programom. Po úspešnom útoku sa do počítača dostali napríklad StealC, Remus Stealer, Amatera Stealer, CastleLoader či NetSupport. Každý z nich plnil trochu inú úlohu, no spoločný cieľ zostal rovnaký, získať čo najviac citlivých údajov alebo pripraviť cestu pre ďalší útok.

Niektoré kampane dokonca zneužili populárnu open-source komunikačnú aplikáciu Franz. Útočníci vytvorili jej upravenú verziu, ktorá na prvý pohľad fungovala normálne. V skutočnosti však po spustení stiahla nový škodlivý nástroj s názvom ResiLoader.

Ten následne vypol časť bezpečnostných mechanizmov systému a pripravil priestor pre ďalší malvér.

Podľa analýzy kampane prebiehajú už od konca roka 2025 a priebežne sa menia. Útočníci skúšajú nové webové stránky, nové škodlivé programy aj nové spôsoby doručenia. Raz zneužijú staré domény, ktoré opäť zaregistrujú, inokedy kompromitujú cudzie webové stránky. Objavili sa aj podvodné služby na tvorbu QR kódov alebo falošné stránky na zdieľanie súborov.

Výskumníci narazili aj na podvodné stránky, ktoré predstierali nové prihlásenie do účtu Google. Používateľ dostal pokyn, aby skopíroval pripravený príkaz a nastavil svoje zariadenie ako hlavné. Celý postup však opäť smeroval k infekcii počítača. Neskôr pribudla ďalšia verzia útoku. Tá zneužila prostredie Google Meet a tvrdila, že má vyriešiť problém so zvukovým ovládačom. Po vložení pripraveného príkazu však používateľ namiesto opravy nainštaloval škodlivý softvér.

Chrániť sa môžeš prekvapivo jednoducho

Najväčšou zvláštnosťou ClickFix útokov zostáva fakt, že používateľ škodlivý príkaz spustí dobrovoľne. Práve preto klasické bezpečnostné odporúčania získavajú ešte väčší význam. Nikdy nevkladaj do PowerShellu, Terminálu ani Príkazového riadka príkazy, ktorých význam nepoznáš. Ak webová stránka tvrdí, že takto vyrieši technický problém alebo overí tvoju totožnosť, radšej ju okamžite zatvor.

Rovnako pomôže pravidelná aktualizácia bezpečnostného softvéru. Moderné antivírusy totiž často rozpoznajú podvodné stránky ešte predtým, ako sa otvorí škodlivý obsah.

ClickFix kampane zároveň ukazujú nový trend medzi kybernetickými zločincami. Namiesto hľadania technických zraniteľností čoraz častejšie útočia na samotného človeka. Ak totiž používateľ vykoná všetky kroky sám, útočníci často obídu viacero bezpečnostných mechanizmov bez toho, aby museli hľadať komplikované chyby v operačnom systéme.

Na internete sa objavila nová clickfix kampaň, zneužíva google cloudflare aj Ďalšie služby
Zdroj: Malwarebytes

Zoznam domén, ktoré šíria ClickFix útok:

  • onegeekworld[.]com
  • thefirmos[.]com
  • antibotv3[.]com
  • centralwildcats[.]com
  • cloud.antibotv3[.]com
  • cloudautosolutions[.]com
  • sunseekersupply[.]com
  • 123clocks[.]com
  • orcanegames[.]com
  • rwmonitoring[.]com
  • 100furniture[.]com
  • nepalcharchaa[.]com
  • p-floribunds.pages[.]dev
  • pg-altirade2.pages[.]dev
  • pg-cordivant-m6.pages[.]dev
  • g-luminence.pages[.]dev
  • generator-qrcode[.]online
  • regdev-google[.]com
  • khosla[.]capital
  • eorgke09054909j[.]com
  • dropboxi[.]com
Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať