Ryska elit-hackare anammar Clickfix för att infektera enheter i Ukraina
En av Rysslands mest avancerade hackargrupper, Sandworm, använder nu Clickfix-tekniken för att kompromettera ukrainska organisationer, enligt landets CERT-center. Tekniken involverar falska CAPTCHA-utmaningar för att installera skadlig kod.

En av Rysslands mest framstående statligt sponsrade hackargrupper, känd som Sandworm och kopplad till militära underrättelsetjänsten GRU, har börjat använda en attackmetod kallad Clickfix för att infektera enheter hos känsliga organisationer i Ukraina. Detta enligt varningar från Ukrainas nationella CERT-center (Computer Emergency Response Team).
Clickfix har under det senaste året etablerat sig som en effektiv attackvektor, primärt använd av finansiellt motiverade kriminella grupper. Metoden innebär att attackernas kontrollerade webbplatser visar en CAPTCHA-verifiering. Besökare uppmanas att kopiera en textsträng och klistra in den i ett terminalfönster. Texten innehåller skript som, efter inmatning, utför skadliga åtgärder, såsom installation av skadlig kod eller exfiltrering av känslig information.
Attackerna, som pågått sedan våren, har resulterat i nätverksintrång hos minst en organisation. Ett infekterat system identifierades innehålla FreakyPoll, en skräddarsydd skadlig kod som används av Sandworm. Ukrainska myndigheter upptäckte tio komprometterade webbplatser som visade en PowerShell-kommando som del av en förfalskad CAPTCHA, presenterad som ett sätt att bekräfta att besökaren var en människa.