Ak uvidíš toto okno, zo stránky okamžite odíď. Hackeri vo veľkom zneužívajú Google, Cloudflare a falošné overenia
Falošné overenie cez Google či Cloudflare môže do počítača dostať malvér. Stačí skopírovať príkaz do PowerShellu a útok je hotový.
Kybernetickí zločinci opäť prišli s novým spôsobom, ako oklamať používateľov. Tentoraz zneužili dôveru v známe značky Google a Cloudflare. Na prvý pohľad všetko vyzerá dôveryhodne. Na obrazovke sa objaví stránka s overením, ktorá pripomína reCAPTCHA alebo bezpečnostnú kontrolu. Namiesto potvrdenia však dostaneš pokyn, ktorý môže skončiť napadnutím celého počítača.
Bezpečnostní výskumníci z Malwarebytes upozornili, že útočníci využili techniku známu pod názvom ClickFix. Na rozdiel od klasických vírusov tentoraz škodlivý program nespustí samotný útočník. Celý proces dokončí samotná obeť, stačí jediný chybný krok.
ClickFix ti ukáže „problém“ a hneď ti naň ponúkne riešenie
Podvodná stránka zobrazuje hlásenie, ktoré vyzerá veľmi presvedčivo. Niekedy tvrdí, že potrebuje potvrdiť, že nie si robot. Inokedy upozorní na problém so zvukom v službe Google Meet alebo ponúkne opravu technickej chyby. Následne zobrazí pokyn, aby si otvoril PowerShell vo Windowse a vložil pripravený príkaz.

Práve v tejto chvíli sa útok dokončí. Po potvrdení príkazu počítač stiahne ďalší škodlivý kód, ktorý otvorí útočníkom dvere do systému. Výskumníci varujú, že jediná chyba môže nainštalovať programy určené na krádež hesiel, prihlasovacích údajov či ďalších citlivých informácií. Niektoré varianty dokonca poskytnú hackerom vzdialený prístup k zariadeniu alebo stiahnu ďalší škodlivý softvér.
Legitímne CAPTCHA ťa nikdy nebude žiadať, aby si niečo spustil v počítači
Práve dôveryhodný vzhľad patrí medzi najväčšie zbrane útočníkov. Stránky napodobnia dizajn Googlu, Cloudflare alebo iných známych služieb tak presne, že mnohí používatelia si rozdiel vôbec nevšimnú. Bezpečnostní experti však pripomínajú jednoduché pravidlo. Žiadna z týchto spoločností nikdy nepožiada používateľa, aby kvôli overeniu človeka otvoril PowerShell alebo Príkazový riadok a ručne vložil pripravený príkaz. Ak sa podobná výzva objaví, takmer určite pôjde o podvod.
Neprehliadni
Útočníci navyše často pridajú odpočítavanie času, upozornenia na údajnú chybu alebo počítadlo návštevníkov. Také prvky vytvoria pocit naliehavosti a zvýšia šancu, že používateľ prestane premýšľať.

Po otvorení zadných vrátok sa užívateľom do PC inštaluje infostealer
Výskumníci zaznamenali viacero kampaní, ktoré využili rovnakú infraštruktúru. Líšili sa iba výsledným škodlivým programom. Po úspešnom útoku sa do počítača dostali napríklad StealC, Remus Stealer, Amatera Stealer, CastleLoader či NetSupport. Každý z nich plnil trochu inú úlohu, no spoločný cieľ zostal rovnaký, získať čo najviac citlivých údajov alebo pripraviť cestu pre ďalší útok.
Niektoré kampane dokonca zneužili populárnu open-source komunikačnú aplikáciu Franz. Útočníci vytvorili jej upravenú verziu, ktorá na prvý pohľad fungovala normálne. V skutočnosti však po spustení stiahla nový škodlivý nástroj s názvom ResiLoader.
Ten následne vypol časť bezpečnostných mechanizmov systému a pripravil priestor pre ďalší malvér.
Podľa analýzy kampane prebiehajú už od konca roka 2025 a priebežne sa menia. Útočníci skúšajú nové webové stránky, nové škodlivé programy aj nové spôsoby doručenia. Raz zneužijú staré domény, ktoré opäť zaregistrujú, inokedy kompromitujú cudzie webové stránky. Objavili sa aj podvodné služby na tvorbu QR kódov alebo falošné stránky na zdieľanie súborov.
Výskumníci narazili aj na podvodné stránky, ktoré predstierali nové prihlásenie do účtu Google. Používateľ dostal pokyn, aby skopíroval pripravený príkaz a nastavil svoje zariadenie ako hlavné. Celý postup však opäť smeroval k infekcii počítača. Neskôr pribudla ďalšia verzia útoku. Tá zneužila prostredie Google Meet a tvrdila, že má vyriešiť problém so zvukovým ovládačom. Po vložení pripraveného príkazu však používateľ namiesto opravy nainštaloval škodlivý softvér.
Chrániť sa môžeš prekvapivo jednoducho
Najväčšou zvláštnosťou ClickFix útokov zostáva fakt, že používateľ škodlivý príkaz spustí dobrovoľne. Práve preto klasické bezpečnostné odporúčania získavajú ešte väčší význam. Nikdy nevkladaj do PowerShellu, Terminálu ani Príkazového riadka príkazy, ktorých význam nepoznáš. Ak webová stránka tvrdí, že takto vyrieši technický problém alebo overí tvoju totožnosť, radšej ju okamžite zatvor.
Rovnako pomôže pravidelná aktualizácia bezpečnostného softvéru. Moderné antivírusy totiž často rozpoznajú podvodné stránky ešte predtým, ako sa otvorí škodlivý obsah.
ClickFix kampane zároveň ukazujú nový trend medzi kybernetickými zločincami. Namiesto hľadania technických zraniteľností čoraz častejšie útočia na samotného človeka. Ak totiž používateľ vykoná všetky kroky sám, útočníci často obídu viacero bezpečnostných mechanizmov bez toho, aby museli hľadať komplikované chyby v operačnom systéme.

Zoznam domén, ktoré šíria ClickFix útok:
- onegeekworld[.]com
- thefirmos[.]com
- antibotv3[.]com
- centralwildcats[.]com
- cloud.antibotv3[.]com
- cloudautosolutions[.]com
- sunseekersupply[.]com
- 123clocks[.]com
- orcanegames[.]com
- rwmonitoring[.]com
- 100furniture[.]com
- nepalcharchaa[.]com
- p-floribunds.pages[.]dev
- pg-altirade2.pages[.]dev
- pg-cordivant-m6.pages[.]dev
- g-luminence.pages[.]dev
- generator-qrcode[.]online
- regdev-google[.]com
- khosla[.]capital
- eorgke09054909j[.]com
- dropboxi[.]com