बढ़ते हुए "ClickFix" हमले क्या हैं? शॉर्टकट कुंजियों आदि को दबाने के निर्देशों पर ध्यान दें

1. ClickFix क्या है—“अपने हाथों से संक्रमित करने” की डिज़ाइन की गई सामाजिक इंजीनियरिंग

ClickFix एक रणनीति है जो उपयोगकर्ताओं को यह विश्वास दिलाती है कि वे “समस्या को ठीक कर रहे हैं (Fix)” या “प्रमाणीकरण पूरा कर रहे हैं” और उन्हें खुद से कमांड निष्पादित करने के लिए प्रेरित करती है। आमतौर पर, वेब पर एक नकली डायलॉग बॉक्स निर्देश देता है: "Fix पर क्लिक करें → Win＋R दबाएं → डायलॉग में Ctrl＋V से पेस्ट करें → Enter" और यह 4 चरण में निर्देश देता है। वास्तव में, क्लिपबोर्ड में अदृश्य स्क्रिप्ट कॉपी की जाती है, और पेस्ट और निष्पादन के माध्यम से मैलवेयर प्राप्ति और निष्पादन शुरू होता है।कास्परस्की

• प्रारंभिक अवलोकन: 2024 के वसंत में। इसके बाद, हमले के परिदृश्य और प्रेरक वाक्यांश विविध हो गए।कास्परस्की

• नकली ब्राउज़र अपडेट/नकली प्लगइन/Word/PDF नहीं देख सकते जैसे बहाने, नकली CAPTCHA और मीटिंग टूल का नकली रूप तक विस्तारित।कास्परस्कीBleepingComputerThe Hacker News

2. कहां सामना होता है?—वितरण इन्फ्रास्ट्रक्चर और “नकली स्क्रीन” की विविधता

2.1 नकली CAPTCHA और नकली मीटिंग पेज

नकली "मैं रोबोट नहीं हूं" स्क्रीन या नकली Google Meet/Zoom पेज प्रदर्शित होते हैं, और शॉर्टकट ऑपरेशन का संकेत देते हैं। हाल के वर्षों में, नकली CAPTCHA क्लस्टर और Meet का नकली रूप कई बार ट्रैक किए गए हैं, और Windows/macOS दोनों को लक्षित किया गया है।MalwarebytesBleepingComputer+1

2.2 नकली ब्राउज़र और दस्तावेज़ प्रदर्शन त्रुटि

"ब्राउज़र अपडेट की आवश्यकता है" या "Word Online एक्सटेंशन नहीं है" का बहाना बनाकर, “How to fix” बटन के माध्यम से क्लिपबोर्ड में कोड कॉपी करने का तरीका।McAfee

2.3 प्रवेश मार्ग

**संशोधित साइट/मालवेयर विज्ञापन/SEO विषाक्तता/फ़िशिंग ईमेल (HTML संलग्नक)** आदि। विशेष रूप से HTML संलग्नक से नकली निर्देशों की ओर प्रेरित करने के उदाहरण या विज्ञापन के माध्यम से प्रेरित करने की रिपोर्ट की गई है।McAfeeAmpcus CyberFortinet

3. क्या निष्पादित होता है?—प्रमुख मैलवेयर और व्यवहार

• Lumma Stealer: सूचना चोरी करने वाला। ClickFix के माध्यम से फैलाव लगातार देखा जा रहा है।MalwarebytesMcAfee

• NetSupport RAT: रिमोट एक्सेस टूल। नकली CAPTCHA से वितरण और स्थायित्व सेटिंग्स की व्याख्या की गई है।Unit 42

• DarkGate: उच्च-कार्यात्मक RAT/लोडर। ClickFix श्रृंखला में गिराने के उदाहरणों का विश्लेषण किया गया है।McAfee

(अन्य में Latrodectus/Rhadamanthys आदि का उपयोग भी होता है। उद्योग-व्यापी और क्षेत्र-विशिष्ट मामले भी हैं।)Unit 42Securonix

4. तकनीक के विकास के साथ ClickFix के “वैरिएंट्स”

4.1 Win＋X वैरिएंट (RunMRU से बचाव)

Win＋X (क्विक एक्सेस मेनू) से PowerShell/टर्मिनल खोलने के निर्देश में बदलकर, Run डायलॉग के निशान (RunMRU) को उजागर होने से बचाने की कोशिश करने वाले उपप्रकार की पुष्टि की गई है। Havoc डिप्लॉयमेंट में इस तकनीक का उपयोग किया गया है।Unit 42+1

4.2 FileFix (Explorer के एड्रेस बार का दुरुपयोग)

2025 में, ब्राउज़र के बाहर भी स्वाभाविक रूप से दिखने वाले Explorer एड्रेस बार में पेस्ट और निष्पादन को प्रेरित करने वाले "FileFix" की रिपोर्ट की गई थी। ClickFix के डेरिवेटिव के रूप में, दृश्य भाग में वैध पथ जैसा टिप्पणी दिखाकर, वास्तविकता में PowerShell का उपयोग करने वाला “दृश्य ट्रिक” का उपयोग किया जाता है।BleepingComputer

4.3 क्रॉस-प्लेटफ़ॉर्माइजेशन

Windows केंद्रित होते हुए भी, macOS/Linux दोनों को लक्षित करने के उदाहरण भी सामने आए हैं। तकनीक की “मानव संचालन” निर्भरता के कारण, यह OS की परवाह किए बिना लागू हो सकती है।BleepingComputer

5. जापान में स्थिति

जापान में भी कई कंपनियों के वातावरण में नुकसान की निगरानी की गई है, और 2025 की शुरुआत से वसंत तक रिपोर्ट में वृद्धि का विश्लेषण किया गया है। नकली CAPTCHA सहित ClickFix के प्रसार के पीछे, **सुरक्षा संचालन केंद्र (SOC)** लगातार चेतावनी दे रहे हैं।株式会社ラックNEC

6. यह क्यों काम करता है?—EDR/गेटवे को “बायपास” करना आसान क्यों है

• उपयोगकर्ता की “वैध क्रिया” की तरह दिखता है: उपयोगकर्ता स्वयं इसे शुरू करते हैं, पेस्ट करते हैं, और निष्पादित करते हैं, जिससे नीति का उल्लंघन या गलत पहचान की संभावना होती है।कास्परस्की

• ब्राउज़र→OS पार करना: ब्राउज़र के अंदर जावास्क्रिप्ट क्लिपबोर्ड में लिखता है, और OS के लॉन्चर से निष्पादित होता है, जिससे सीमांत सुरक्षा में अंधा स्थान बन जाता है।Malwarebytes

• नकली का परिष्कार: मीटिंग समस्याएं, दस्तावेज़ प्रदर्शन त्रुटियां, CAPTCHA आदि, “दैनिक कार्य” के UI