ClickFix, när era användare hjälper cyberkriminella
Ett tydligt ökande hot är en nätfiskemetod som generellt beskrivet bygger på att användaren får ett fiktivt problem, tex inte kommer vidare till en hemsida, samt presenteras med ett logiskt klicka här för att lösa problemet.
ClickFix är ett snabbt växande problem och maskeras typiskt genom en falsk dialogruta eller pop-up, ofta i form av krav på att installera en nödvändig uppdatering eller verifiera att du är en människa. Det kan vara en falsk CAPTCHA, I’m not a robot eller rakt på sak en Fix it-knapp som kan kännas bekant och tryggt att klicka på, även för en hyfsat observant användare. För att komma vidare och således lösa ”problemet”, luras användaren att, utan sin vetskap, installera en infostealer eller annan skadlig programvara. Metoden är ytterst effektiv eftersom användaren inte är medveten om vad denne gör, men framför allt för att handlingen i många fall inte upptäcks av säkerhetssystemen.
ClickFix upptäcks inte av säkerhetssystemen
Hotaktörer
Problemet med ClickFix dök upp under sensommaren 2024 och har ökat stadigt sedan dess och tycks accelerera sedan årsskiftet. Spridningen bland aktörerna tycks bred, där både cyberkriminella grupperingar och statligt sponsrade hackergrupper använder metoden för att lura sina offer och infektera med skadlig programvara.
Attackmetoder
Generellt sätt så bygger metoden på social manipulation och att utnyttja mänskligt beteende och svagheter däri. Man försätter den attackerade användaren i en situation av problem och osäkerhet samt presenterar en lösning på problemet i en bekant paketering eller form.
Vanligt är att leda användaren till en falsk hemsida där attacken utförs ifrån. Förutom nätfiskemail är malvertising, onlineannonser med skadlig kod, och sökmotorförgiftning, där hackers manipulerar resultat från sökmotorer så att falska hemsidor med onda uppsåt hamnar överst bland sökresultaten. Typiskt ser dessa falska annonser och hemsidor ut att komma från legitima och välkända organisationer.
Ett ClickFix-exempel
1. Användaren leds via nätfiske, malvertising eller sökmotorförgiftning till falsk hemsida med ClickFix
2. Hemsidan kräver att användaren klickar på en popup ”jag är ingen robot” eller liknande
3. Felmeddelande dyker upp om att det tex inte gick att verifiera användaren samt instruktioner om hur man löser problemet
4. Användaren följer instruktionen och installerar en infostealer eller annan skadlig programvara
5. Användaren uppfattar att verifieringen lyckades och surfar vidare helt ovetande om vad som hänt
Svårt att skydda sig när egna användare används för att installera skadlig programvara
Vad är en infostealer?
Kortfattat kan man beskriva Infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har Infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja eller utnyttja den stulna informationen.
Den information man fokuserar på att stjäla är olika typer av användarnamn, lösenord, systeminställningar, cookies, loggfiler, mm som kan användas för att logga in eller åtminstone få fotfäste i ett företags IT-system. Därifrån iscensätts sedan andra cyberattacker eller andra bedrägliga aktiviteter. Den typiska köparen av informationen är således andra cyberkriminella som efter köptransaktionen inleder en cyber-, utpressnings- eller bedrägeriattack.
Vill du veta mer om hur cybersäkerhetsutbildning kan stärka er motståndskraft?
Utbildning av personalen för att öka både riskmedvetenheten och kunskapen om nätfiskeutvecklingen är ett ypperligt sätt att öka er motståndskraft, speciellt när det kombineras med toppmoderna cybersäkerhetsverktyg.
Infostealers – ett växande hot med mycket allvarliga följdeffekter
Infostealer-malware, även kallade Infostealers eller bara Stealers växer i populäritet på den cyberkriminella marknaden och öppnar dörren för ännu större cyberrisker. Det visar också tydligt hur kriminella samarbeten fördjupas ytterligare.
Vad är Infostealers?
Infostealers används i allt större utsträckning och anses, av vissa, vara ett av de största cyberhoten idag. Kortfattat kan man beskriva Infostealers som en skadlig programvara som i hemlighet infekterar datorer och system med ett enda egentligt syfte – att kopiera värdefull information utan att det upptäcks. När informationen är stulen har Infostealern slutfört sitt uppdrag och nästa steg för den cyberkriminelle är att sälja den stulna informationen.
man kan "kidnappa” en pågående inloggning och därmed kringgå tex multifaktors-autentisering
Den information man fokuserar på att stjäla är olika typer av användarnamn, lösenord, systeminställningar, cookies, loggfiler, mm som kan användas för att logga in eller åtminstone få fotfäste i ett företags IT-system. Därifrån iscensätts sedan andra cyberattacker eller andra bedrägliga aktiviteter. Den typiska köparen av informationen som en Infostealer kommit över är således andra cyberkriminella som, efter köptransaktionen, inleder en cyber-, utpressnings- eller bedrägeriattack.
Att lyckas stjäla och snabbt sälja aktuella sessionskakor är speciellt högt upp på önskelistan då dessa betingar ett högt pris. Med aktuella sessionskakor kan man nämligen ”kidnappa” en pågående inloggning och därmed kringgå tex multifaktorsautentisering som finns för att skydda system och IT-miljöer mot otillåten inloggning, vilket naturligtvis är otroligt allvarligt!
Marknaden blomstrar
På Infostealermarknaden finns både hackare som är specialiserade på att stjäla och sälja stulen information men också de som erbjuder Infostealers-som-tjänst. Köparen erbjuds i det senare fallet en färdig Infostealertjänst med allt från kundsupport, mjukvaruuppdateringar till detaljerad dokumentation, vilket innebär att även de kriminella med lägre teknisk kompetens kan använda avancerade Infostealers.
Mycket av informationen som stjäls med Infostealers kanske aldrig kommer till användning men blotta tanken att mycket information själs är såklart oroväckande. Vad som dock är otroligt allvarligt är att, enligt en rapport, 90% av företag som haft cyberintrång har förlorat inloggning/behörighetsdata till en Infostealer före intrånget. Detta visar tydligt att Infostealers är ett mycket allvarligt problem då dessa bidrar till att större cyberattacker kan genomföras.
90% av företag som haft cyberintrång har förlorat inloggnings- /behörighetsdata till en Infostealer före intrånget
En sökning på en populär men undanskymd digital handelsplats visade att milliontals Infostealerloggar är till salu, vilket kan anses vara ett tecken på att mognadsgraden är hög i det cyberkriminella ekosystemet där Infostealers alltså spelar en viktig roll.
Hur sprids Infostealers?
Infostealers sprids genom de olika och ofta väldigt kreativa sätt som vi beskrivit i denna blogg vid tidigare tillfällen. Nätfiskeattacker, malvertising och sökmotorförgiftning är några exempel men även falska CAPTCHA-formulär, AI-verktyg och mjukvaror har använts.
Hur kan vi hjälpa er att stärka er motståndskraft?
Moderna cybersäkerhetsverktyg, med konstant övervakning och incidentberedskap är snart ett måste för alla företag. Även utbildning av personalen för att öka både riskmedvetenheten och kunskapen om hur skadliga program sprids är bra ett sätt att öka er motståndskraft.
Hör av er så hjälper er!
