Aktualności

ClickFix dodał polecenia nslookup do swojego arsenału narzędzi służących do pobierania programów RAT.

autor: Pieter Arntz | 16 lutego 2026 r.
ClickFix naśladuje Windows

Kampanie złośliwego oprogramowania ClickFix polegają na nakłonieniu ofiary do zainfekowania własnego komputera.

Najwyraźniej przestępcy stojący za tymi kampaniami zorientowali się, że polecenia mshta i Powershell są coraz częściej blokowane przez oprogramowanie zabezpieczające, więc opracowali nową metodę wykorzystującą nslookup.

Początkowe etapy są bardzo podobne do tych, które widzieliśmy wcześniej: fałszywe instrukcje CAPTCHA, aby udowodnić, że nie jesteś botem, rozwiązywanie nieistniejących problemów komputerowych lub aktualizacji, powodowanie awarii przeglądarki, a nawet filmy instruktażowe.

Celem jest skłonienie ofiar do uruchomienia złośliwych poleceń, które zainfekują ich komputery. Złośliwe polecenie jest często kopiowane do schowka ofiary wraz z instrukcją, aby skopiować je do okna dialogowego Windows lub Mac .

Nslookup to wbudowane narzędzie służące do korzystania z internetowej „książki telefonicznej”, a przestępcy zasadniczo nadużywają tej książki telefonicznej do przemycania instrukcji i złośliwego oprogramowania, zamiast po prostu uzyskiwać adres.

Służy on do rozwiązywania problemów sieciowych, sprawdzania poprawności konfiguracji DNS oraz badania podejrzanych domen, a nie do pobierania lub uruchamiania programów. Jednak przestępcy skonfigurowali serwer tak, aby odpowiadał danymi, które są tak skonstruowane, że część „odpowiedzi” jest w rzeczywistości kolejnym poleceniem lub odnośnikiem do złośliwego oprogramowania, a nie tylko zwykłym adresem IP.

Firma Microsoft podała następujące przykłady złośliwych poleceń:

Przykłady poleceń nslookup

Te polecenia uruchamiają łańcuch infekcji, który pobiera archiwum ZIP z zewnętrznego serwera. Z archiwum tego wyodrębnia złośliwy skrypt w języku Python, który uruchamia procedury rozpoznawcze, wykonuje polecenia wykrywające i ostatecznie umieszcza Basic Visual Basic , który umieszcza i uruchamia ModeloRAT.

ModeloRAT to trojan zdalnego dostępu (RAT) oparty na języku Python, który zapewnia atakującym praktyczną kontrolę nad zainfekowanym Windows .

Krótko mówiąc, cyberprzestępcy znaleźli kolejny sposób na wykorzystanie zaufanego narzędzia technicznego i potajemne przeprowadzenie kolejnego etapu ataku, a wszystko to dzięki temu, że ofiara postępuje zgodnie z pozornie nieszkodliwymi instrukcjami pomocy technicznej dotyczącymi kopiowania i wklejania. W tym momencie może ona przekazać kontrolę nad swoim systemem.

Jak zachować bezpieczeństwo

W obliczu szerzącego się zjawiska ClickFix — które nie wydaje się, aby miało wkrótce przeminąć — ważne jest, aby być świadomym, ostrożnym i chronić się przed nim.

  • Zwolnij. Niespiesz sięz wykonywaniem instrukcji na stronie internetowej lub w monicie, zwłaszcza jeśli wymagają one uruchomienia poleceń na urządzeniu lub skopiowania i wklejenia kodu. Atakujący wykorzystują poczucie pilności, aby ominąć Twoje krytyczne myślenie, więc zachowaj ostrożność w przypadku stron nakłaniających do podjęcia natychmiastowych działań. Zaawansowane strony ClickFix zawierają liczniki czasu, liczniki użytkowników lub inne taktyki wywierające presję, aby skłonić Cię do szybkiego działania.
  • Unikaj uruchamiania poleceń lub skryptów z niezaufanych źródeł. Nigdy nieuruchamiaj kodu ani poleceń skopiowanych ze stron internetowych, wiadomości e-mail lub komunikatów, chyba że ufasz źródłu i rozumiesz cel działania. Zweryfikuj instrukcje niezależnie. Jeśli strona internetowa nakazuje wykonanie polecenia lub czynności technicznej, przed przystąpieniem do działania sprawdź oficjalną dokumentację lub skontaktuj się z pomocą techniczną.
  • Ogranicz stosowanie funkcji kopiowania i wklejania poleceń. Ręcznewpisywanie poleceń zamiast kopiowania i wklejania może zmniejszyć ryzyko nieświadomego uruchomienia złośliwego oprogramowania ukrytego w skopiowanym tekście.
  • Zabezpiecz swoje urządzenia. Korzystaj zaktualnegorozwiązania antywirusowegodziałającego w czasie rzeczywistym, wyposażonego w komponent ochrony sieciowej.
  • Zdobądź wiedzę na temat ewoluujących technik ataków.Świadomość, że ataki mogą pochodzić z nieoczekiwanych źródeł i ewoluować, pomaga zachować czujność. Czytaj dalej naszego bloga!

Porada dla profesjonalistów:Czy wiesz, że bezpłatny program Malwarebytes Browser Guard ostrzega Cię, gdy strona internetowa próbuje skopiować coś do schowka?

Nie tylko informujemy o zagrożeniach — pomagamy chronić całą Twoją tożsamość cyfrową.

Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Chroń swoje dane osobowe i dane swojej rodziny, korzystając z ochrony tożsamości.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

AI
Ręka sięga w dół, aby chwycić jedną gwiazdkę z zapisanego hasła.

Hasła generowane przez sztuczną inteligencję stanowią zagrożenie dla bezpieczeństwa.

Luty 19, 2026

Hasła generowane przez sztuczną inteligencję są „bardzo przewidywalne” i nie są prawdziwie losowe, co sprawia, że cyberprzestępcy mogą je łatwiej złamać.

Aktualności
Logo Tenga

Producent artykułów intymnych Tenga ujawnił dane klientów

Luty 19, 2026

Atak phishingowy na pracownika firmy Tenga mógł spowodować ujawnienie danych klientów z USA. Klienci powinni uważać na próby phishingu związane z sekstorsją.

Naruszenia danych
Logo Betterment

Wyciek danych Betterment może być poważniejszy, niż sądziliśmy

Luty 18, 2026

Obecnie wydaje się, że naruszenie to ma znacznie poważniejszy charakter. Wyciekające dane zawierają bogate informacje osobiste i finansowe, które mogą zostać wykorzystane przez phisherów.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa