Tehnica ClickFix a intrat în prim‑planul atacurilor cibernetice, iar ultimul raport al cercetătorilor Huntress arată că hackerii exploatează platformele AI, cum ar fi ChatGPT și Grok, pentru a livra malware direct pe dispozitivele utilizatorilor, fără semne evidente de phishing.
Combinaţia de SEO poisoning şi AI în noua variantă a tehnicii ClickFix
Investigaţia Huntress descrie modul în care atacatorii îmbină SEO poisoning cu conversaţii legitime generate de inteligenţa artificială. Căutările obișnuite ale utilizatorilor sunt redirecţionate către linkuri de partajare a discuţiilor AI, unde se ascund comenzi maliţioase.
Strategia de distribuţie prin SEO poisoning
- Publicarea linkurilor în forumuri slab moderate, canale Telegram şi fermă de conţinut.
- Manipularea algoritmilor motoarelor de căutare pentru a urca pe primele pagini Google.
- Folosirea domeniilor reale ale platformelor AI, astfel că linkurile nu declanşează alarme de securitate.
Modul de execuţie al atacului prin platforme AI
Utilizatorul deschide linkul şi vede interfaţa ChatGPT autentică, cu o conversaţie predefinită ce pare să ofere suport tehnic. Printre paşii indicaţi, apare o comandă Terminal ascunsă, concepută să descarce şi să instaleze un infostealer.
Exemplu de malware livrat prin tehnica ClickFix
În testele documentate de Huntress, comanda a descărcat și instalat infostealer‑ul AMOS, un malware macOS specializat în furtul de parole, portofele de criptomonede și tokenuri de autentificare. Instalarea s-a realizat fără descărcări vizibile și fără intervenţia unui antivirus, deoarece utilizatorul a executat singur comanda.
De ce este considerată un salt evolutiv în ingineria socială
Noua variantă a tehnicii ClickFix diferă de atacurile tradiţionale prin:
- Lipsa site‑urilor false sau a e‑mailurilor suspecte.
- Execuţia directă a comenzilor de către utilizator, evitând detectarea de către protecţiile macOS.
- Exploatarea reputaţiei platformelor AI pentru a genera încredere instantă.
- Transformarea căutărilor uzuale în capcane potenţiale.
Recomandări pentru companii şi monitorizarea comportamentală
Specialiştii Huntress subliniază necesitatea monitorizării anomaliilor, cum ar fi:
- Comenzi executate de utilitarul macOS osascript care solicită acces la credenţiale.
- Fişiere executabile ascunse în directoarele utilizatorilor.
- Conexiuni neobișnuite către domenii externe imediat după rularea unui script.
Detectarea devine dificilă, deoarece acţiunea imită comportament legitim al utilizatorului.
Sfaturi pentru utilizatorii finali
Regula de bază recomandată este să nu se execute comenzi Terminal din surse neprevăzute, chiar dacă apar în răspunsuri ale unui chatbot popular. Verificarea autenticitaţii sursei şi evitarea copierii directe a codului reprezintă măsuri preventive esenţiale.
Într‑un context în care AI devine parte integrantă a activităţii digitale zilnice, evoluţia tehnicii ClickFix subliniază importanţa informării continue şi a monitorizării evoluţiilor în securitatea cibernetică.
