Обновленная версия вредоносной программы 'ClickFix' маскируется под обновление Windows, используя данные пикселей PNG для внедрения похитителей информации

Киберпреступники обновили печально известную вредоносную программу ClickFix, замаскировав ее под легальное обновление Windows, и обманом заставили пользователей вставить вредоносную команду в окно "Выполнить". Невероятно хитроумная программа использует пиксельные данные из PNG для внедрения похитителей информации, которые крадут Ваши имена пользователей, пароли, криптовалютные кошельки, банковские реквизиты, личную информацию и многое другое.

Исследователи кибербезопасности Huntress недавно разоблачили новый вариант ClickFix. Вредоносная программа отображает полноэкранную страницу браузера, имитирующую полноэкранное обновление Microsoft Windows, с индикатором выполнения и статусом 95% завершения для "критического обновления безопасности"

Эта вредоносная программа встречается в основном на поддельных сайтах для взрослых, которые имитируют популярные сайты, часто маскируясь под рекламу или подсказки о проверке возраста. Как только Вы нажимаете на рекламу, видео или запрос на проверку возраста, перед Вами появляется фальшивая заставка обновления Windows.

Затем вредоносная программа инструктирует пользователей нажать клавиши Windows + R, чтобы открыть команду "Выполнить", вставить заранее скопированный вредоносный код и передать злоумышленникам административный доступ.

После активации команды запускается программа mshta (Microsoft HTML Application Host) с URL-адресом, который также служит вектором атаки. Затем предустановленный инструмент получает полезную нагрузку с URL-адреса, закодированного в шестнадцатеричном формате, и запускает нежелательный код PowerShell, чтобы помешать таким инструментам, как Bitdefender, принять меры или обнаружить вредоносную активность. Затем он развертывает код, который расшифровывает PNG-файл, извлекает инструкции оболочки и внедряет их в процессы, уже запущенные на целевой платформе.

Изображение PNG, несмотря на безобидный вид, содержит вредоносный код, встроенный в его пиксельные данные, которые сборка .NET расшифровывает. После нескольких дополнительных команд она запускает инфопохитителей, таких как Rhadamanthys или LummaC2, которые перебирают данные и нажатия клавиш для поиска паролей, учетных данных и криптокошельков, хранящихся в цифровом виде, а затем отправляют их на иностранные серверы.

Хантресс заявила, что этот конкретный вариант ClickFix циркулирует в Интернете с начала октября, причем на многих сайтах и доменах до сих пор размещается поддельный запрос на обновление, даже когда он с разной степенью сложности внедряется на этих сайтах.

Хакеры прячут вредоносный код в невинно выглядящих изображениях или добавляют тонны бесполезных строк, что даже сбивает с толку некоторых экспертов по кибербезопасности, ищущих вредоносный код с помощью обфускации. Компания Huntress заявила, что обнаружила в коде странные вещи, например, цитату со старого заседания ООН: "Что касается третьей стадии, мы настоятельно рекомендуем полностью уничтожить все оружие, поскольку в противном случае прочный мир не может быть обеспечен"

Эта вредоносная программа ClickFix Windows Update, несомненно, является одной из самых изобретательных и в то же время зловещих форм похищения информации на сегодняшний день. Рекомендуется проверять URL-адреса доменов и избегать нажатия на рекламу или выполнения каких-либо команд непосредственно на своих устройствах, особенно когда они могут случайно открыть доступ к таким сложным вредоносным программам, как ClickFix.