Атаки ClickFix построены на социальной инженерии. Обычно жертв заманивают на вредоносные сайты и там обманом заставляют скопировать в буфер и выполнить некие команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.
Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением или требуют, чтобы пользователь .
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ИБ-специалисты уже предупреждали и о кампаниях, направленных на пользователей и .
По данным , использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период со второй половины 2024 года по первую половину 2025 года.
Тогда специалисты писали, что вредонос LostKeys применяется в атаках на западные правительства, журналистов, аналитические центры и другие организации. Малварь использовалась для шпионажа, а ее возможности включали хищение данных на основе жестко закодированного списка расширений и директорий.
После публичного раскрытия информации о LostKeys хакеры полностью отказались от этой малвари и менее чем через неделю начали разворачивать новые вредоносные инструменты — NoRobot, YesRobot и MaybeRobot.
По данным аналитиков, первым был NoRobot — вредоносный файл DLL, доставляемый посредством ClickFix-атаки и поддельных CAPTCHA. Под видом прохождения верификации хакеры обманом вынуждали жертв запустить малварь через rundll32.
Стоит отметить, что исследователи из компании Zscaler NoRobot в сентябре 2025 года и дали этой кампании имя BaitSwitch, а ее пейлоад получил название Simplefix.
Как теперь сообщает Google, NoRobot закрепляется в системе путем модификации реестра, а также создавая запланированные задачи. Также изначально малварь загружала в системы жертв Python 3.8 для Windows, чтобы подготовить машину к заражению бэкдором YesRobot на базе Python.
Однако использование YesRobot было недолгим — скорее всего, потому что установка Python была очевидным артефактом, привлекающим внимание. ColdRiver отказалась от этого способа в пользу другого бэкдора — PowerShell-скрипта под названием MaybeRobot (названного Zscaler Simplefix).
С начала июня 2025 года «радикально упрощенная» версия NoRobot начала доставлять MaybeRobot, который поддерживает всего три команды:
- загрузка и выполнение пейлоадов с указанного URL-адреса;
- выполнение команд через командную строку;
- выполнение произвольных PowerShell-блоков.
Исследователи пишут, что в настоящее время разработка MaybeRobot, похоже, почти завершена, и теперь злоумышленники больше фокусируются на доработке NoRobot, чтобы сделать малварь более скрытной и эффективной.
Кроме того, специалисты отмечают переход от сложной к более простой, а затем снова к сложной цепочке доставки малвари, которая строится на разделении криптографических ключей между несколькими компонентами. Так, расшифровка финального пейлоада зависит от правильного объединения частей.
Атаки ColdRiver с доставкой NoRobot и последующих пейлоадов наблюдались в период с июня по сентябрь 2025 года. Обычно группа распространяет малварь при помощи фишинговых атак, и исследователи пока не нашли причину перехода хакеров к ClickFix-атакам.
Одна из теорий экспертов гласит, что группировка использует семейства малвари NoRobot и MaybeRobot против целей, которые ранее уже были скомпрометированы посредством фишинга, то есть у них уже похитили письма и контакты. Повторное таргетирование может быть направлено на «получение дополнительной разведывательной информации с их устройств напрямую», предполагают исследователи.
