Tehnoloogiaväljaanne Gizmodo kinnitas laupäeval turvaintsidenti pärast seda, kui lugejad teatasid ClickFixi pahavara hoiatustest artiklilehtedel. Kasutajad jagasid kuvatõmmiseid võltsitud CAPTCHA-akendest, mis ilmusid Gizmodo veebilehel. Rünnaku eesmärk oli petta kasutajaid käivitama oma terminalides pahatahtlikku koodi.
Proofpointi turvauurija Tommy M sõnul käivitas rünnaku tõenäoliselt ErrTraffici partner — tegemist on ClickFix-as-a-service teenusega, mis võimaldab ründajatel valida soovitud pahavara. ClickFixi hoiatus oli kohandatud iga kasutaja operatsioonisüsteemile. Windowsi versioon üritas paigaldada NetSupport RAT pahavara, mis kuritarvitab seaduslikku NetSupport Manageri tööriista süsteemidele juurdepääsuks. Darktrace’i andmetel saab NetSupport RAT-i kasutada ka failide väljaviimiseks ning lisapahavara, sealhulgas lunavara laadimiseks. macOS-i versiooni kasulik koormus näis olevat katki, kuna ZIP-arhiivi avamine nõudis parooli.
Gizmodo teatas, et ründed olid nähtaval vaid lühikest aega. “Tuvastasime ja lahendasime turvaintsidendi täna varem,” teatas väljaanne. Kompromiteeritud kontot kasutati pahatahtliku skripti süstimiseks. Leht võeti kohe võrgust maha, skript eemaldati ja konto turvati. The Register kinnitas, et esmaspäeval ei kuvatud veebilehel enam ClickFixi hoiatusi.