มีการพบการโจมตีแบบ ClickFix หลายรูปแบบ โดย Hacker จะหลอกผู้ใช้ด้วยภาพเคลื่อนไหวของ Windows Update ที่ดูเหมือนจริงในหน้าเบราว์เซอร์แบบ full-screen และซ่อนคำสั่งอันตรายไว้ในรูปภาพ
ClickFix เป็นการโจมตีแบบ Social-Engineering ที่ผู้ใช้ถูกหลอกให้วาง และรันโค้ด หรือคำสั่งใน Command Prompt ของ Windows ซึ่งนำไปสู่การเรียกใช้มัลแวร์บนระบบ
การโจมตีแบบ ClickFix ได้รับความนิยมอย่างแพร่หลายในกลุ่ม Hacker ในทุกระดับ เนื่องจากมีประสิทธิภาพสูง และได้รับการพัฒนาอย่างต่อเนื่อง โดยมีวิธีการที่มีการพัฒนา และซับซ้อนในการหลอกลวงมากขึ้นเรื่อย ๆ
Fullscreen Browser Page
ตั้งแต่วันที่ 1 ตุลาคม 2025 นักวิจัยได้พบการโจมตีแบบ ClickFix ที่แสดงการแจ้งเตือนปลอมเป็นการติดตั้งการอัปเดตความปลอดภัยบน Windows ให้เสร็จสมบูรณ์ และหน้าแจ้งเตือน "human verification" ซึ่งมักพบได้บ่อย
หน้าอัปเดตปลอมจะสั่งให้เหยื่อกดปุ่มเฉพาะตามลำดับที่กำหนด ซึ่งจะวาง และรันคำสั่งจาก Hacker ที่คัดลอกไปยัง clipboard โดยอัตโนมัติผ่าน JavaScript ที่ทำงานบนเว็บไซต์
รายงานจาก Huntress ผู้ให้บริการด้านความปลอดภัยระบุว่า ClickFix เวอร์ชันใหม่นี้ ได้ฝังโปรแกรมอันตราย ได้แก่ LummaC2 และ Rhadamanthys info stealers
การโจมตีมีหลายรูปแบบ เช่น การใช้ใบหน้ายืนยันตัวตน ในขณะที่อีกรูปแบบหนึ่งใช้หน้าจอ Windows Update ปลอม
อย่างไรก็ตาม การโจมตีทั้งสองกรณี Hacker ใช้การซ่อนข้อมูล (steganography) เพื่อเข้ารหัสเพย์โหลดมัลแวร์ในขั้นตอนสุดท้ายภายในรูปภาพ
นักวิจัยของ Huntress อธิบายว่า "แทนที่จะผนวกข้อมูลที่เป็นอันตรายลงในไฟล์เพียงอย่างเดียว โค้ดที่เป็นอันตรายจะถูกเข้ารหัสโดยตรงภายในข้อมูลพิกเซลของรูปภาพ PNG โดยอาศัยช่องสีเฉพาะเพื่อสร้าง และถอดรหัสเพย์โหลดในหน่วยความจำ"
การติดตั้งเพย์โหลดสุดท้ายเริ่มต้นด้วยการใช้ไบนารี mshta ของ Windows เพื่อรันโค้ด JavaScript ที่เป็นอันตราย
กระบวนการทั้งหมดประกอบด้วยหลายขั้นตอนที่ใช้โค้ด PowerShell และ .NET assembly (the Stego Loader) ซึ่งรับผิดชอบในการสร้างเพย์โหลดสุดท้ายที่ฝังอยู่ในไฟล์ PNG ในสถานะเข้ารหัส
โดยภายใน manifest resources ของ Stego Loader มี blob ที่เข้ารหัส AES ซึ่งจริง ๆ แล้วเป็นไฟล์ steganographic PNG file ซึ่งประกอบด้วย shellcode ที่ถูกสร้างขึ้นใหม่โดยใช้โค้ด C# ที่สร้างขึ้นมาเอง
นักวิจัยของ Huntress พบว่า Hacker ใช้วิธีการหลบเลี่ยงการตรวจจับแบบไดนามิก ซึ่งมักเรียกว่า ctrampoline โดยเมื่อ entry point function ใช้งาน จะเริ่มเรียกใช้ empty functions 10,000 ฟังก์ชัน
shellcode ที่เก็บตัวอย่าง infostealer จะถูกแยกออกมาจากรูปภาพที่เข้ารหัส และถูกแพ็กโดยใช้เครื่องมือ Donut ซึ่งช่วยให้สามารถรันไฟล์ VBScript, JScript, EXE, DLL และแอสเซมบลี .NET ในหน่วยความจำได้
หลังจากแกะแพ็กเกจดังกล่าวแล้ว นักวิจัยของ Huntress สามารถดึงมัลแวร์ออกมาได้ ซึ่งก็คือ LummaC2 และ Rhadamanthys
นักวิจัยพบมัลแวร์ Rhadamanthys ที่ใช้ Windows Update ในการโจมตีครั้งแรกในเดือนตุลาคม 2025 ก่อนที่จะถูกปฏิบัติการ Operation Endgame ตรวจจับ และโดนทำลายโครงสร้างพื้นฐานบางส่วนในวันที่ 13 พฤศจิกายน 2025
Huntress การดำเนินการบังคับใช้กฎหมายส่งผลให้ข้อมูลไม่ได้ถูกส่งไปที่โดเมน Windows Update ปลอมอีกต่อไป ซึ่งยังคงใช้งานได้อยู่
เพื่อความปลอดภัยจากการโจมตี ClickFix ประเภทนี้ นักวิจัยแนะนำให้ปิดการใช้งาน Windows Run box และตรวจหา Process ที่น่าสงสัย เช่น explorer.