ESET kiberfenyegetettségi jelentés: robbanásszerűen terjed a hamis hibaüzenetekkel támadó ClickFix kártevő

Megérkezett a legfrissebb kiberfenyegetettségi jelentés, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be telemetriai adatok, illetve kutatói elemzések alapján. Az időszak egyik legszembetűnőbb fejleménye az áldozatokat megtévesztő ClickFix nevű támadási vektor robbanásszerű elterjedése volt: előfordulása több mint 500 százalékkal nőtt az előző félévhez képest. Ezzel az egyik leggyorsabban növekvő fenyegetéssé vált, amely jelenleg az adathalászat után a második leggyakoribb módszer a kibertámadások között.

A jelentés összefoglalása:

• A megtévesztő hibaüzenetekre épülő ClickFix esetek száma több mint 500 százalékkal nőtt, így ez lett az adathalászat után a második leggyakoribb módszer, ami az összes blokkolt kibertámadás csaknem 8 százalékát teszi ki.
• A SnakeStealer megelőzte az Agent Teslát, és a leggyakrabban észlelt adatlopó kártevővé vált.
• Az ESET részt vett két jelentős Malware-as-a-Service (MaaS) szolgáltató, a Lumma Stealer és a Danabot műveleteinek felszámolásában.
• A zsarolóvírus-bandák közötti ellentétek, például a RansomHubnál tapasztalt rivalizálás belső káoszt okoztak. Bár több támadás történt, a váltságdíjfizetések csökkentek, részben a hatósági fellépés és a bizalomhiány miatt.
• Az Android-reklámprogram-észlelések 160%-kal emelkedtek a Kaleidoscope kártevő miatt, míg az NFC-alapú visszaélések több mint harmincötszörösükre nőttek, többek között a digitális pénztárca lopásra alkalmas GhostTap és a SuperCard X eszközök révén.

ClickFix: hamis hibaüzenetek, valódi veszély

Mindannyian találkoztunk már olyan weboldal üzenetekkel, amelyek arra kértek, hogy bizonyítsuk, hogy nem robotok vagyunk. Egy elmosódott szöveget kellett beírnunk egy üres mezőbe, vagy meg kellett jelölnünk az összes buszt, közlekedési lámpát stb. tartalmazó képet, esetleg egy kirakós hiányzó darabját kellett a helyére illesztenünk. A felhasználók már hozzászoktak ehhez, és valószínűleg kevesen kérdőjeleznék meg, ha egy új típusú feladattal kellene bizonyítaniuk, például azzal, hogy valamit kimásolnak és beillesztenek az eszközükre. Pontosan erre gondoltak a kiberbűnözők is, amikor az internet egyik legbosszantóbb funkcióját egy új támadási módszerré alakították.

A ClickFix a social engineering (pszichológiai manipuláció) egy új fajtája, amely hamis hibaüzenettel vagy hitelesítő üzenettel veszi rá az áldozatokat egy rosszindulatú szkript kimásolására és beillesztésére, majd futtatására. A módszer minden nagyobb operációs rendszert érint, beleértve a Windows, Linux és macOS platformokat is.

„A ClickFix-hez köthető fenyegetések listája napról napra bővül, ideértve adatlopó kártevőket, zsarolóvírusokat, távoli hozzáférésű trójai programokat, kriptobányász programokat, az utólagos támadást lehetővé tévő post-exploitation eszközöket, sőt még nemzetállamokhoz köthető fenyegető szereplők által használt, egyedi kártevőket is” – mondja Jiří Kropáč, az ESET Threat Prevention Labs igazgatója.

A SnakeStealer lett a fő adatlopó

Az adatlopó kártevők terén is jelentős változások történtek. Miután az Agent Tesla készítői felhagytak a rosszindulatú programok fejlesztésével, a SnakeStealer (más néven Snake Keylogger) vette át a vezetést, és vált a telemetriában leggyakrabban észlelt adatlopóvá. A SnakeStealer képes naplózni a billentyűleütéseket, menteni a hitelesítési adatokat, alkalmas képernyőképek készítésére és a vágólap tartalmának gyűjtésére.

A kártevő főként adathalász e-mailek rosszindulatú mellékleteként terjed, többek között közép- és kelet-európai országokban is. A SnakeStealer üzemeltetői egy VIP verziót is kínálnak, amely magasabb díj ellenében további funkciókat tartalmaz.

Két legyet egy csapásra

A bűnüldöző szervek és a kiberbiztonsági cégek – köztük az ESET – hónapokig tartó kemény munkája meghozta gyümölcsét, és nem egy, hanem két ismert adatlopó tevékenységét sikerült közös erővel felszámolni. A Lumma Stealer és a Danabot nevű, kész kártevőket eladásra kínáló Malware-as-a-Service (MaaS) szolgáltató a beavatkozást megelőzően egyaránt jelentős aktivitást mutatott: a Lumma Stealer előfordulása 21%-kal, a Danaboté pedig 52%-kal nőtt 2024 második félévéhez képest. Ez jól mutatja, mekkora fenyegetésről volt szó, és mennyire fontos volt ezek felszámolása – az összefogásnak köszönhetően 2025 májusában az infrastruktúrájuk nagy része leállt.

Csökkent a kifizetett váltságdíjak összértéke

A zsarolóvírusok világát belső konfliktusok uralják: a különböző bandák közti rivalizálás számos szereplőt megingatott, köztük az egyik legismertebb zsarolóvírus-szolgáltatást, a RansomHubot. A 2024-es adatok szerint bár nőtt a támadások száma és több aktív banda működött, a váltságdíj-kifizetések összértéke jelentősen visszaesett. Ez részben annak köszönhető, hogy több bűnbandát sikerült felszámolni, illetve néhány csoport úgynevezett „exit scamet” hajtott végre, vagyis beszedték a váltságdíjat, majd eltűntek anélkül, hogy teljesítették volna az ígéretüket. Ez pedig erősítette azt a trendet, hogy egyre több áldozat nem hisz abban, hogy érdemes fizetnie a zsarolóknak.

NFC-alapú és digitális tárcák elleni támadások

Az Android platformon észlelt reklámprogramok száma 160%-kal nőtt, amit elsősorban a Kaleidoscope névre keresztelt, kifinomult kártevő megjelenése okozott. Ez a rosszindulatú szoftver megtévesztő „gonosz iker” módszerrel terjeszti a kártékony alkalmazásokat, amelyek zavaró hirdetésekkel árasztják el a felhasználókat, rontva az eszköz teljesítményét. A művelet mögött álló kiberbűnözők ugyanazon alkalmazásból két, közel azonos verziót készítenek – egy ártalmatlant, amely a hivatalos alkalmazásboltokban érhető el, és egy rosszindulatú verziót, amely harmadik féltől származó boltokon keresztül terjed.

Az NFC technológia jó célokra használva gyorsabb és biztonságosabb fizetést tesz lehetővé, de sajnos a kiberbűnözők figyelmét sem kerülte el. Az NFC-alapú visszaélések száma több mint harmincötszörösére nőtt, ami főként adathalász kampányok és relay támadások növekedésének köszönhető, melyek során a támadók távolról is képesek visszaélni a digitális tárcák adataival. Bár a számok összességében még nem számítanak magasnak, a növekedés rávilágít arra, hogy a bűnözők gyorsan alkalmazkodnak, és továbbra is nagy figyelmet fordítanak az NFC-technológia kihasználására.

Az ESET kutatásai szerint a GhostTap nevű kártevő képes ellopni a felhasználók kártyaadatait, amelyeket a támadók saját digitális pénztárcáikba másolnak, és azokat világszerte érintésmentes fizetésekhez használják fel telefonjaikkal. A szervezett csalásokat gyakran „fraud farmok” végzik, amelyek egyszerre több készülékkel futtatják a támadásokat. A SuperCard X ezzel szemben egy minimalista, egyszerűen használható MaaS szolgáltatásként kínálja az NFC-alapú lopást. Az ártatlannak tűnő app telepítése után a háttérben valós időben továbbítja a megszerzett kártyaadatokat a támadóknak.

„Az új típusú social engineering technikáktól a fejlett mobilos fenyegetéseken át a jelentős adatlopó támadások megzavarásáig az első félév történései jól mutatják, hogy 2025 sem telik eseménytelenül a kibertérben, és hogy minden platform érintett lehet a támadásokban.” – összegezte Béres Péter, az ESET termékeit forgalmazó Sicontact Kft. IT-vezetője az ESET legfrissebb jelentésének tartalmát.

További részletek az ESET 2025 első félévére vonatkozó kiberfenyegetettségi jelentésében olvashatók a WeLiveSecurity.com oldalon. Friss hírekért kövessék az ESET Research csatornáit X-en (korábbi Twitteren), BlueSky-on és Mastodonon.

Forrás: Robbanásszerűen terjed a hamis hibaüzenetekkel támadó ClickFix kártevő | ESET