Вирус ClickFix маскируется под обновление Windows для кражи паролей

/ ТехнологииНовости / Технологии

В сети появился новый коварный вариант вируса ClickFix, который нацелен на самых легких жертв: тех, кто доверяет запросам на обновление Windows. Специалисты по безопасности из Huntress сообщают, что злоумышленникам удалось создать полноэкранный поддельный экран обновления, достаточно убедительный, чтобы обмануть пользователей и получить полный доступ к системе с помощью простого трюка с копированием и вставкой.

Эта схема обычно появляется на сомнительных сайтах, в основном на страницах для взрослых, заполненных подозрительными всплывающими окнами. Одно неверное нажатие на рекламу или фальшивую проверку возраста — и весь браузер внезапно превращается в то, что выглядит как законное обновление Windows, зависшее на 95%. Затем оно утверждает, что для завершения обновления нужно нажать Win + R и вставить специальную команду. Разумеется, именно этого и добивается вирус.

Эта команда незаметно запускает встроенный инструмент Windows mshta и загружает вредоносный код с удаленного сервера. Чтобы усложнить обнаружение, код содержит множество бесполезных команд, призванных сбить с толку системы безопасности. В одной из самых странных уловок часть вредоносного кода фактически спрятана внутри PNG-изображения — вредонос извлекает скрытый шелл-код прямо из пикселей, а затем внедряет себя в другие запущенные процессы с помощью .NET.

Как только он внедряется в систему, начинается вторая стадия атаки. На компьютер загружаются известные сборщики информации, такие как Rhadamanthys или LummaC2, которые начинают охоту на пароли, куки браузера, данные для входа в банки и информацию из криптокошельков. Всё собранное отправляется злоумышленникам.

Исследователи утверждают, что кампания активна как минимум с начала октября и продолжается до сих пор, используя множество похожих доменов для размещения поддельного экрана обновления. Криминалисты также обнаружили в коде случайные бессмысленные строки — включая странную отсылку к старой речи в ООН — по-видимому, добавленные только для того, чтобы тратить время аналитиков.

Худшая часть в том, что эта атака полностью основана на социальной инженерии. Никаких загрузок файлов. Никаких очевидных всплывающих окон с вредоносами. Просто веб-сайт, который обманом заставляет вас запустить его команду.

Главный вывод:

Никогда не копируйте и не вставляйте команды со случайных веб-страниц, как бы официально они ни выглядели. Настоящие обновления Windows никогда не просят вас открывать окно «Выполнить».

(Источник: Huntress)

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии