В классических атаках ClickFix пользователь заходит на поддельную веб-страницу — например, якобы не может пройти капчу или «исправить ошибку», мешающую загрузке сайта.
Затем он нажимает на кнопку, и в буфер обмена копируется вредоносная команда PowerShell. Пользователю предлагают вставить её в командную строку, чтобы «решить проблему». Как объяснил mr.d0x, теперь вместо командной строки злоумышленник просит вставить «путь к файлу» в адресную строку проводника Windows. А проводник,
как оказалось, может исполнять команды, если они вставлены в определённом виде. Всё замаскировано:
- Страница-фейк выглядит как уведомление о полученном файле.
- Кнопка «Открыть в проводнике» запускает окно выбора файла.
- В буфер обмена незаметно копируется PowerShell-команда.
- Вместо явного скрипта — якобы путь к файлу, спрятанный в комментарии PowerShell.
- Пользователь вставляет его в адресную строку проводника — и команда выполняется.
Чтобы юзер случайно не выбрал файл на своём компьютере, mr.d0x добавил в код страницы блокировку выбора файла. Если человек всё-таки кликает не туда, появляется сообщение: «Вы не выполнили инструкцию, попробуйте ещё раз».
Почему это опасно? Потому что всё выглядит максимально правдоподобно и происходит в привычных интерфейсах — никакого запуска терминала, только Windows и якобы файл.
