ClickFix атака използва фалшиви „Word Online“ съобщения за разпространение на DarkGate зловреден софтуер

Декември 2025 г.

Експерти по киберсигурност предупреждават за активна ClickFix кампания, която използва фалшиви съобщения, имитиращи Word Online, за да подмами потребители да инсталират DarkGate зловреден софтуер.

Атаката не използва техническа уязвимост, а разчита изцяло на социално инженерство и доверие към познати Microsoft интерфейси.

Как протича атаката

Потребителите получават имейл или съобщение с твърдение, че трябва да:

• отворят

• потвърдят

• или „поправят“ документ в Word Online

Линкът води до убедително фалшива Microsoft страница, която подканва жертвата да извърши кратко действие.
Това действие води до стартиране на DarkGate на устройството.

Какво прави DarkGate

След компрометиране, DarkGate може да:

• осигури постоянен достъп на атакуващите

• зарежда допълнителен зловреден код

• краде идентификационни данни

• активира дистанционно управление

• послужи като входна точка за по-мащабна атака

Тъй като атаката е инициирана от самия потребител, тя често заобикаля стандартни защитни механизми.

DIAMATIX Perspective

Този инцидент е още едно доказателство за ясна тенденция:

Съвременните атаки все по-често таргетират хората, а не уязвимостите.

Имитацията на легитимни cloud-базирани работни процеси е изключително ефективна техника.
Реалната защита изисква контекстна видимост върху крайни точки, потребителско поведение и необичайно изпълнение на код.

Препоръчани мерки

Организациите трябва да:

• подхождат с недоверие към неочаквани „Word Online“ покани

• ограничат стартирането на скриптове и команди

• следят за аномалии в поведението на крайните точки

• инвестират в обучение срещу социално инженерство

Източници:

• CybersecurityNews

• Анализи на изследователски екипи по сигурността (декември 2025)

Свържете се с DIAMATIX

Trusted · Innovative · Vigilant