- Вредонос ClickFix маскируется под обновление Windows, используя поддельное полноэкранное окно с запросом на установку.
- Программа внедряет инфостилеры Rhadamanthys и LummaC2, крадущие учетные данные, финансовую информацию и криптовалютные кошельки, преимущественно через фальшивые сайты для взрослых.
- Для успешной атаки пользователям предлагается вручную выполнить вредоносную команду, после чего злоумышленники получают права администратора и запускают скрытые загрузчики в PNG-файлах.
Эксперты по информационной безопасности из компании Huntress выявили новую, более изощренную версию вредоносного программного обеспечения ClickFix, которое искусно маскируется под критически важное обновление операционной системы Windows. Злоумышленники используют полноэкранное окно браузера с визуализацией процесса установки обновления, доводя статус до 95% и побуждая пользователя нажать кнопку «Выполнить». Данный трюк направлен на получение прав администратора на устройстве жертвы.
Особенностью атаки служит использование скрытого кода внутри пиксельных данных PNG-изображений, который запускает мощные программные инструменты-инфостилеры Rhadamanthys и LummaC2. Эти программы занимаются незаконным сбором конфиденциальных данных, включая учетные записи, финансовую информацию и криптовалютные кошельки. Основные каналы заражения — поддельные сайты для взрослых, замаскированные под популярные ресурсы с рекламой или запросами на подтверждение возраста, где фальшивое окно обновления Windows инициализируется после взаимодействия пользователя с элементами страницы.
Для окончательного запуска вредоносной программы пользователю предлагается вручную вызвать окно «Выполнить» с помощью комбинации клавиш Windows + R, вставить заранее скопированный вредоносный код и подтвердить выполнение. После этого активируется системная утилита mshta, которая загружает и расшифровывает вредоносный код из специально сформированных URL-адресов. Вредоносный скрипт PowerShell препятствует действиям антивирусных программ, таких как Bitdefender, затрудняя обнаружение или нейтрализацию зловреда.
По словам специалистов, вредоносная кампания начала активно распространяться с начала октября. Вредоносный код дополнительно усложнен обфускацией и замаскирован в, казалось бы, безобидных PNG-файлах с включением не связанных с атакой элементов, например цитат с заседаний ООН, что затрудняет анализ и обнаружение угрозы.
Эксперты настоятельно рекомендуют пользователям тщательно проверять веб-адреса посещаемых сайтов, избегать нажатия на подозрительные рекламные объявления и ни в коем случае не выполнять предложенные непроверенные команды на своих устройствах. Ранее уже сообщалось о более ранних атаках ClickFix, нацеленных как на Windows, так и на Linux-системы.
