McAfee Labs a identifié deux vecteurs d’infection conduisant les utilisateurs vers ces fausses pages CAPTCHA : l’un via des URL de téléchargement de jeux crackées, et l’autre via des emails de phishing. Les utilisateurs de GitHub ont été ciblés par des e-mails de phishing les invitant à corriger une « vulnérabilité de sécurité » fictive dans un référentiel de projet auquel ils ont contribué ou souscrit. Ces e-mails incitent les utilisateurs à visiter « github-scanner[.]com » pour plus d’informations sur le problème de sécurité présumé.

La chaîne d’infection ClickFix fonctionne en trompant les utilisateurs en les incitant à cliquer sur des boutons tels que « Vérifiez que vous êtes un humain » ou « Je ne suis pas un robot ». Une fois cliqué, un script malveillant est copié dans le presse-papiers de l’utilisateur. Les utilisateurs sont ensuite induits en erreur en collant le script après avoir appuyé sur la touche Windows + R, exécutant ainsi le malware sans le savoir. Cette méthode facilite le processus d’infection, permettant aux attaquants de déployer facilement des logiciels malveillants.