>_ highlab.pl
$ curl /atak-clickfix_

Co to jest atak ClickFix? Co robi i jak się przed tym bronić?

Piotr Cichosz @ 17 grudnia 2025 4min
Osoba przy komputerze robiąca coś złego
IMG_DATA // Osoba przy komputerze robiąca coś złego _

ClickFix to jedna z najnowszych sztuczek cyberprzestępców, którzy potrafią sprawić, że… sam zainstalujesz sobie wirusa. Brzmi absurdalnie? A jednak działa — i to zaskakująco skutecznie. Sprawdźmy więc, czym dokładnie jest ten atak, jak wygląda w praktyce i co możesz zrobić, żeby nie „zhackować się” samemu.

Na czym polega atak ClickFix?

ClickFix to technika inżynierii społecznej, czyli oszustwo oparte nie na hakowaniu systemów, tylko na manipulacji użytkownikiem. Ofiara jest podstępem nakłaniana, by sama uruchomiła złośliwy kod na swoim komputerze.

Najczęściej wygląda to tak:

  1. Wchodzisz na stronę, która wyświetla komunikat w stylu: „Nie można poprawnie wyświetlić strony – kliknij Fix it, żeby naprawić”.
  2. Klikasz przycisk Fix (albo „Jak naprawić”, „Udowodnij, że nie jest botem” itp.).
  3. Na ekranie pojawiają się instrukcje:
    • Naciśnij Win + R
    • Wklej (Ctrl + V)
    • Wciśnij Enter

Tym sposobem uruchamiasz polecenie PowerShell w systemie Windows, które pobiera i instaluje malware — np. trojana, infostealera lub program zdalnego dostępu (RAT).
W skrócie: użytkownik sam wykonuje polecenie hakera, w pełni świadomie… choć bez świadomości skutków.

Skąd się wziął ClickFix?

Termin ClickFix po raz pierwszy pojawił się w raportach badaczy Proofpoint w 2024 roku. Wtedy zaobserwowano kampanie e-mailowe, w których ofiary otrzymywały fałszywe pliki HTML udające dokumenty Worda. Po otwarciu pliku pojawiał się komunikat o błędzie, zachęcający do „naprawy” – oczywiście przez uruchomienie polecenia PowerShell.

Z biegiem czasu technika ewoluowała. Dziś ClickFix jest wykorzystywany:

  • w fałszywych aktualizacjach przeglądarki (np. Google Chrome),
  • w podrobionych stronach Google Meet, Zooma czy Facebooka,
  • w fałszywych CAPTCHA weryfikujących, że „nie jesteś robotem”,
  • a nawet w serwisach z grami czy PDF-ami.

Według danych takich firm jak HHS i Kaspersky, od 2024 roku technika ta rozrosła się w setki kampanii prowadzonych przez zorganizowane grupy przestępcze takie jak TA571, ClearFake, Slavic Nation Empire czy Scamquerteo.

Przykłady prawdziwych kampanii z wykorzystaniem ataku ClickFix

  • Marzec 2024 – kampania TA571:
    Zainfekowane e-maile z załącznikami HTML, które udawały pliki Worda. Ofiary wykonując „instrukcje naprawy”, uruchamiały kod instalujący trojana DarkGate.
  • Sierpień 2024 – fałszywe Google Meet:
    Strony łudząco podobne do Google Meet informowały o błędzie mikrofonu lub kamery. Kliknięcie opcji „Napraw teraz” skutkowało pobraniem malware Lumma Stealer (kradnącego hasła i dane przeglądarki).
  • Wrzesień 2024 – ataki na GitHub:
    Atakujący zakładali fałszywe „issues” w projektach na GitHubie, które sugerowały błędy bezpieczeństwa. Tym samym zachęcano do kliknięcia w link, który prowadził do fałszywego CAPTCHA z infekcją.

Co może się stać po ataku?

Po wykonaniu fałszywego polecenia, komputer ofiary może zostać zainfekowany m.in.:

  • infostealerem (kradnie hasła, dane kart, pliki cookies),
  • trojanem zdalnego dostępu (RAT) – umożliwia przejęcie kontroli nad komputerem,
  • loaderem – pobiera kolejne szkodliwe programy,
  • rootkitem, który ukrywa obecność złośliwego oprogramowania.

Zdarzało się również, że po infekcji cyberprzestępcy instalowali ransomware lub sprzedawali przejęte dane dalej w sieci Tor. Niektóre kampanie miały określone cele np. ataki na firmy transportowe czy użytkowników kryptowalut.

Jak się bronić przed ClickFix?

Niestety, ale nie ma złotego środka. Trzeba być uważnym oraz trzeba mieć na uwadze pewne nawyki przed działaniami. Te nawyki, to między innymi:

  • Nigdy nie uruchamiaj poleceń, których nie rozumiesz.
    Jeśli jakaś strona każe otworzyć okno „Uruchom” (Win+R) – nie rób tego.
  • Aktualizuj przeglądarki i system tylko z oficjalnych źródeł.
    Chrome nie wyświetla wyskakujących okienek z przyciskiem „Napraw”.
  • Zachowaj czujność wobec fałszywych CAPTCHA.
    Prawdziwe CAPTCHA nigdy nie proszą cię o kopiowanie kodu.
  • Edukacja to podstawa.
    Szkolenia z rozpoznawania phishingu i socjotechniki naprawdę mają sens.
  • Zainstaluj sprawdzone oprogramowanie zabezpieczające.
    Takie programy jak Kaspersky, ESET, czy Bitdefender są w stanie wykryć typowe oznaki ClickFix.

ClickFix to wyjątkowo przebiegła metoda infekcji, bo nie wymaga żadnych luk w systemie. Wykorzystuje tylko jedno – ludzką ufność. Jeśli coś w sieci mówi nam żeby „naprawić” swój komputer poprzez kopiowanie kodu – to lepiej zastanów się dwa razy czy to nie podstęp.

Źródła:

  • Kaspersky: What is ClickFix and how to protect your company(kwiecień 2025)
  • U.S. Department of Health & Human Services, ClickFix Attacks Sector Alert TLP:Clear (październik 2024)
  • Proofpoint Security Brief (marzec–maj 2024)
  • Sekoia Threat Intelligence Reports (2024)
$ post meta
categories: ["Bezpieczeństwo", "Ciekawostki technologiczne", "Poradniki"]
$ whoami
Piotr Cichosz
Piotr Cichosz
Od ponad 10 lat jestem zaangażowany w świat elektroniki użytkowej, zdobywając szeroką wiedzę i doświadczenie w testowaniu oraz recenzowaniu najnowszych technologii. Moja kariera obejmuje pracę w wiodących firmach technologicznych, gdzie specjalizowałem się w rozwiązywaniu złożonych problemów technicznych oraz doradzaniu w kwestiach wyboru sprzętu. Na moim blogu publikuję dokładne poradniki oraz recenzje urządzeń takich jak smartfony, routery i słuchawki, oferując czytelnikom rzetelne informacje oparte na wieloletnim doświadczeniu i skrupulatnych testach. Moim celem jest dostarczanie treści, które pomagają w podejmowaniu świadomych decyzji zakupowych oraz pełnym wykorzystaniu możliwości nowoczesnej elektroniki.
$ git log --neighbors
[PREV] Wielka Brytania: Coraz więcej nastolatków woli rozmawiać z AI niż z prawdziwą osobą 10 grudnia 2025 [NEXT] LibrePods wreszcie oferuje pełne wsparcie AirPods dla Androida 17 grudnia 2025
$ ls ./related
Europejski Miesiąc Cyberbezpieczeństwa. Dokąd zmierzają nowoczesne technologie? 28 sierpnia 2018 Voice phishing (vishing) – nowy typ ataku na klientów banków 23 kwietnia 2020 Czy Ty też wyrzucasz swoje dane osobowe do kosza? 22 listopada 2017 Czyj to numer telefonu? Jak sprawdzić kto do mnie dzwonił? 29 kwietnia 2018 Jaki antywirus wybrać w 2020? 24 lutego 2020 Już wiem dlaczego w Ameryce ląduje większość kradzionych kart kredytowych i płatniczych 24 kwietnia 2018 8080 nowy numer alarmowy w walce z cyberoszustwami – zgłaszaj podejrzane SMS-y 4 stycznia 2024 Firma z Izraela – Cellebrite – twierdzi, że jest w stanie złamać każdego iPhone’a z zainstalowanym iOS 11 1 marca 2018 Co to jest Bulletproof Hosting? Czyli niewidoczna strona Internetu 14 sierpnia 2023 Stopnie alarmowe CRP – kiedy są wprowadzanie i co oznaczają? 22 lutego 2022
Polecane zakupowniki: Myszka pionowa (ergonomiczna) ranking Lornetka turystyczna Prezent dla taty na urodziny Router na kartę SIM LTE 4G ranking Jaka ładowarka samochodowa do telefonu? Słuchawki do pracy zdalnej Jaki aparat natychmiastowy? Smartwatch na kartę SIM dla dziecka Długopis 3D ranking Klawiatura dla progrmisty Dron do 1000 zł Wzmacniacz sygnału WiFi
Jaki hosting?: Jaki hosting wybrać? Mój TOP1 Ranking hostingów
Akcesoria dla sprzętu Apple: Myszka do Macbooka Jakie słuchawki do iPhone Torby i etui do Macbooka Jaki powerbank do iPhone?