Seorang pembaca anonim mengutip laporan dari Ars Technica: ClickFix sering kali dimulai dengan email yang dikirim dari hotel yang targetnya masih menunggu pendaftaran dan merujuk pada informasi pendaftaran yang benar. Dalam kasus lain, serangan ClickFix dimulai dengan pesan WhatsApp. Dalam kasus lain, pengguna menerima URL di bagian atas hasil Google untuk permintaan pencarian. Setelah tanda mengakses situs berbahaya yang dirujuk, tanda tersebut menghadirkan tantangan CAPTCHA atau dalih lain yang memerlukan konfirmasi pengguna. Pengguna menerima instruksi untuk menyalin string teks, membuka jendela terminal, menempelkannya, dan tekan Enter. Setelah dimasukkan, string teks menyebabkan PC atau Mac secara diam-diam mengunjungi server yang dikendalikan penipu dan mengunduh malware. Kemudian, mesin secara otomatis menginstalnya — semuanya tanpa indikasi target. Dengan demikian, pengguna akan terinfeksi, biasanya dengan malware pencuri kredensial. Perusahaan keamanan mengatakan kampanye ClickFix telah merajalela. Kurangnya kesadaran akan teknik ini, ditambah dengan tautan yang juga berasal dari alamat yang diketahui atau dalam hasil pencarian, dan kemampuan untuk melewati beberapa perlindungan titik akhir merupakan faktor-faktor yang mendorong pertumbuhan tersebut.
Perintah tersebut, yang sering kali dikodekan dengan base-64 agar tidak dapat dibaca manusia, sering kali disalin di dalam kotak pasir browser, bagian dari sebagian besar browser yang mengakses Internet dalam lingkungan terisolasi yang dirancang untuk melindungi perangkat dari malware atau skrip berbahaya. Banyak alat keamanan tidak dapat mengamati dan menandai tindakan ini sebagai tindakan yang berpotensi berbahaya. Serangan-serangan ini juga bisa efektif mengingat kurangnya kesadaran. Banyak orang telah belajar selama bertahun-tahun untuk mencurigai tautan dalam email atau pesan. Dalam benak banyak pengguna, tindakan pencegahan tidak mencakup situs yang memerintahkan mereka menyalin sepotong teks dan menempelkannya ke jendela asing. Ketika instruksi datang melalui email dari hotel terkenal atau muncul di bagian atas hasil Google, target akan semakin lengah. Dengan banyaknya keluarga yang berkumpul dalam beberapa minggu mendatang untuk berbagai makan malam liburan, penipuan ClickFix layak untuk disebutkan kepada anggota keluarga yang meminta nasihat keamanan. Microsoft Defender dan program perlindungan titik akhir lainnya menawarkan beberapa pertahanan terhadap serangan ini, namun dalam beberapa kasus, program tersebut dapat dilewati. Artinya, untuk saat ini, kesadaran adalah tindakan penanggulangan yang terbaik. Peneliti dari CrowdStrike menjelaskan dalam sebuah laporan sebuah kampanye yang dirancang untuk menginfeksi Mac dengan eksekutif Mach-O. “Mempromosikan situs web jahat palsu akan mendorong lebih banyak lalu lintas situs, yang akan menyebabkan lebih banyak calon korban,” tulis para peneliti. “Perintah instalasi satu baris memungkinkan pelaku eCrime untuk langsung menginstal eksekusi Mach-O ke mesin korban sambil melewati pemeriksaan Gatekeeper.”
Dorong Keamanan, sementara itu, dilaporkan kampanye ClickFix yang menggunakan halaman adaptif perangkat yang menyajikan muatan berbahaya yang berbeda-beda bergantung pada apakah pengunjung menggunakan Windows atau macOS.
