Attackers are smuggling REMCOS RAT inside poisoned versions of the popular open-source video editor Shotcut, using a fake CAPTCHA trick to get victims to unknowingly install malware that hands over full control of their device.
Source: LevelBlue
Read more: CyberSecBrief
A malicious update to QuickLens Chrome extension stripped security headers, targeted cryptocurrency wallets, and pushed ClickFix malware across user browsers before Google disabled it.
Source: BleepingComputer
Read more: CyberSecBrief
iT4iNT SERVER Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging http://dlvr.it/TQz5Tn VDS VPS Cloud
A malicious Chrome extension deliberately crashes browsers to trick employees into running hidden commands that deploy remote access malware.
Source: Huntress
Read more: CyberSecBrief
A newly uncovered ClickFix social engineering campaign is targeting the hospitality sector in Europe, tricking victims with fake Windows Blue Screen of Death (BSOD) screens to manually execute malware.
Attack Overview
Campaign name: PHALT#BLYX (tracked by Securonix).
Initial lure: Phishing emails impersonating Booking.com, claiming large reservation cancellations/refunds.
Landing page:…
New ClickFix wave infects users with hidden malware in images and fake Windows updates
Several researchers have flagged a new development in the ongoing ClickFix campaign: Attackers are now mimicking a Windows update screen to trick people into running malware.
ClickFix campaigns use convincing lures, historically “Human Verification” screens, and now a fake “Windows Update” splash page that exactly mimics the real Windows update interface. Both require the user to paste a command from the clipboard, making the attack depend heavily on user interaction.
As shown by Joe Security, ClickFix now displays its deceptive instructions on a page designed to look exactly like a Windows update.
In full-screen mode, visitors running Windows see instructions telling them to copy and paste a malicious command into the Run box.
“Working on updates. Please do not turn off your computer.
Part 3 of 3: Check security
95% complete
Attention!
To complete the update, install
the critical Security Update
[… followed by the steps to open the Run box, paste “something” from your clipboard, and press OK to run it]
The “something” the attackers want you to run is an mshta command that downloads and runs a malware dropper. Usually, the final payload is the Rhadamanthys infostealer.
Click the link for more information.
مواقع وخدع احتيالية تعرض شاشة تحديث Windows مزيفة على المتصفح لإقناع الضحية بتنفيذ أوامر تؤدي إلى تنزيل برمجيات خبيثة على الجهاز. هذه الصفحات تمثل واجهةً كاملة تشبه شاشة التحديث الحقيقية، وتطلب من المستخدمين عادةً نسخ ولصق أو تنفيذ أوامر ظنًا منهم أنها “خطوات إصلاح” أو “تثبيت تحديث أمني”. حملات حديثة تبيّن أن المهاجمين صاروا يستخدمون أساليب متطورة لإقناع المستخدم بالقيام بهذه الخطوات بنفسه بدلًا من محاولة اختراق النظام مباشرةً.
الهجوم النموذجي الذي رصده الباحثون (مسمّى ClickFix) يملأ شاشة المتصفح برسوم متحركة تشبه تقدم التحديث ثم يطلب سلسلة ضغطات مفاتيح تنسخ أوامر خبيثة إلى الحافظة (clipboard) — وعندما يلصق المستخدم الأمر في نافذة تشغيل أو PowerShell، تُنفَّذ سلسلة من الأوامر التي تقوم بتحميل وتشغيل حمولة ضارة. في بعض الحالات، تم إخفاء شيفرة التحميل داخل بيانات صور (steganography) لجعلها أقل اكتشافًا
البرمجيات التي توزّع عبر هذه الخدع تتضمن سرّاق معلومات (infostealers) وعائلات برمجية مثل LummaC2 وRhadamanthys، والتي تهدف إلى سرقة كلمات المرور والملفات الحساسة أو تسليم أدوات تحكم عن بعد إلى المهاجم. الجهات البحثية والأمنية حذّرت من هذه التكتيكات وقدمت تحليلات تقنية حول سلسلة الهجوم وكيفية اكتشافها وإيقافها.
كيف تحمي نفسك الآن (نصائح عملية سريعة)
لا تنسخ أو تلصق أوامر تحصل عليها من صفحات ويب غير موثوقة؛ التثبيتات الرسمية للتحديثات تأتي عبر Windows Update أو مواقع الشركات المعلنة فقط. Microsoft
إذا ظهرت شاشة تحديث في المتصفح، أغلق التبويب أو المتصفح ولا تنفّذ أي تعليمات منها.
حافظ على نظامك وبرامج الحماية محدثة وافحص الروابط المشبوهة قبل النقر. أدوات الحماية ذات السمعة الجيدة تساعد في اكتشاف محاولات التحميل الخبيث.
ClickFix often starts with an email sent from a hotel that the target has a pending registration with and references the correct registration information. In other cases, ClickFix attacks begin with a WhatsApp message. In still other cases, the user receives the URL at the top of Google results for a search query. Once the mark accesses the malicious site referenced, it presents a CAPTCHA challenge or other pretext requiring user confirmation. The user receives an instruction to copy a string of text, open a terminal window, paste it in, and press Enter.
Once entered, the string of text causes the PC or Mac to surreptitiously visit a scammer-controlled server and download malware. Then, the machine automatically installs it—all with no indication to the target. With that, users are infected, usually with credential-stealing malware. Security firms say ClickFix campaigns have run rampant. The lack of awareness of the technique, combined with the links also coming from known addresses or in search results, and the ability to bypass some endpoint protections are all factors driving the growth.
Nos últimos meses, o fenômeno conhecido como ClickFix tem despertado preocupações acerca da segurança digital, especialmente entre usuários de mais idade que frequentemente não possuem familiaridade com as nuances da tecnologia moderna. Este método, que permite burlar muitas proteções de endpoint, é uma técnica relativamente nova e que se utiliza de uma estratégia sofisticada, mas ao mesmo tempo alarmante, de enganar as vítimas através de instruções que exigem a abertura de um terminal e a colagem de comandos, sem qualquer indicativo claro do perigo que representam. A simples atividade de copiar e colar um comando pode ser letal nas mãos de um usuário desavisado, marcando o ClickFix como uma das potenciais maiores ameaças que sua família pode desconhecer.(…)
Leia a noticia completa no link abaixo:
https://www.jornalo.com.br/clickfix-representa-nova-ameaca-a-seguranca-digital-de-usuarios-idosos
iT4iNT SERVER Large-Scale ClickFix Phishing Attacks Target Hotel Systems with PureRAT Malware http://dlvr.it/TPB05m VDS VPS Cloud
La Agencia de Seguridad Nacional (NSA) de EE. UU. ha emitido una alerta sobre un ciberataque conocido como ClickFix, que se ha propagado a dispositivos iPhone y Android. El ataque se disfraza de ventanas emergentes (pop-ups) que solicitan a los usuarios verificar su identidad o solucionar errores técnicos. La agencia recomienda cerrar todas las aplicaciones de inmediato y no interactuar con el…
#Alerta NSA - El Pop-up 'ClickFix’ Amenaza tu iPhone y Android, ¡No Hagas Clic!
ネットの認証画面装ってウイルス感染 新手口の被害急増 | NHK
ネットの認証画面装ってウイルス感染 新手口の被害急増 | NHK https://www3.nhk.or.jp/news/html/20250907/k10014915401000.html
A primera vista, ClickFix podría parecer otra variación del phishing o el spoofing, pero su genialidad reside en su sutileza y su explotación directa de la psicología humana. No se trata solo de un correo electrónico engañoso o un sitio web clonado; es una orquestación meticulosa de elementos que conducen a la víctima a una acción aparentemente inofensiva, que en realidad es la puerta de entrada…
ClickFix: El Caballo de Troya de la Ingeniería Social Moderna