
Un raport recent confirmă că metoda frauduloasă denumită ClickFix devine o armă eficientă în distribuirea malware-ului în mediul online. În perioada 1 martie – 31 mai 2026, această tehnică a dominat fluxurile de atac cibernetic, fiind dificil de detectat de soluțiile clasice de securitate.
Ce este metoda ClickFix?
ClickFix nu se bazează pe fișiere infectate sau atașamente suspecte. În schimb, hackerii afișează pagini aparent legitime, precum un test CAPTCHA fals sau o eroare de browser, pentru a induce victimelor un sentiment de siguranță.
Victimele sunt păcălite să copieze și să lipească comenzi în ferestre precum Windows Run, Terminal sau Script Editor. La apăsarea tastei Enter, codul invocat poate lansa procese malițioase, facilitând infectarea sistemului.
Cum funcționează atacurile
Mesajele afișate în mod fals indică de obicei o problemă urgentă, precum blocarea browserului sau solicitarea verificării identității. În realitate, aceste mesaje solicită utilizatorului să apese combinații de taste precum Windows + R sau să copieze și să ruleze comenzi din clipa în care apare o fereastră de dialog.
Comenzile respectivă pot activa instrumente Windows, precum PowerShell, sau aplicații macOS, precum Script Editor. Odată pornite, acestea pot descărca scripturi malițioase, instala programe de tip infostealer sau deschide acces pentru alte atacuri.
Proporția atacurilor și tehnicile folosite
ReliaQuest indică faptul că aproape 28% din activitatea de evitarea a detectării analizată a fost generată de tehnici de tip ClickFix. Hackerii utilizează comenzi ascunse, cod obfuscat și fișiere create pentru a părea inofensive, prevenind detectarea de către soluțiile antivirus.
Aceste fișiere pot fi rulate manual de utilizatori, ceea ce reduce șansele ca antivirușii să le identifice ca fiind suspecte.
Extinderea asupra utilizatorilor de macOS
Una dintre schimbările semnificative observate este utilizarea acestei tehnici și asupra utilizatorilor de Mac. Timp de multă vreme, aceștia au fost considerați mai puțin vulnerabili, însă atacatorii au adaptat mesajele pentru a-i păcăli să folosească programe precum Script Editor sau Terminal în executarea de comenzi malițioase.
Persoanele vizate sunt adesea utilizatori interesați de aplicații de programare, ghiduri de instalare sau alte instrumente tehnice. Reclamele sponsorizate de Google, care promit instalarea rapidă a unor programe, devin o metodă prin care se induce click-ul spre pagini false, cu scopurile malware.
Utilizatorii care descarcă astfel de programe pot avea expuse tokenuri, chei API sau credențiale de acces, fiind vulnerabili la furt de date sensibile. În unele cazuri, cercetătorii au identificat tokenuri npm și Bitbucket puse în variabile de mediu pe dispozitivele compromise.
Sfaturi simple pentru a evita infectările
O regulă esențială contra acestor atacuri constă în evitarea copierii și rulării manuale a comenzilor suspecte. Niciun site, email sau reclamă nu va cere în mod legitim să deschizi o fereastră de comandă sau să introduci un cod de verificare pentru repararea sistemului.
Participarea la astfel de practici poate duce automat la compromiterea sistemului, utilizând instrumente legitime ale sistemului de operare pentru a activa programe malițioase. Astfel, este recomandat să nu rulezi comenzi în terminal, PowerShell, Windows Run sau Script Editor decât dacă ești sigur de sursa și siguranța lor.
Un CAPTCHA autentic nu va cere niciodată rularea directă a unor comenzi sau introducerea manuală a unor coduri în aceste medii.














