Наскоро открит вариант на зловредния софтуер ClickFix започна да се

Наскоро открит вид на зловредния програмен продукт ClickFix стартира да се маскира като сериозна актуализация за Windows, употребявайки подправена пълноекранни подкани за ъпдейт. Когато потребителите го конфигурират, нападателите получават администраторски права.

Изследователи от Huntress откриха, че злоумишлен програмен продукт употребява прикрит код в пикселните данни на PNG файловете, с цел да внедри мощни инфостийлър стратегии, като Rhadamanthys и LummaC2. Те крадат идентификационни данни, финансови данни и крипто портфейли, най-вече посредством уеб страниците за възрастни. 

Зловредният програмен продукт отваря страница на цялостен екран в браузъра, симулираща актуализация на Microsoft Windows, с лента за напредъка и 95% статус на довеждане докрай за „ сериозна актуализация на сигурността “. Зловредният програмен продукт се започва, когато щракнете върху „ Изпълни “ в този прозорец. 

ClickFix се среща най-вече във подправените уеб страници за възрастни, които имитират известни уеб сайтове, постоянно маскирани като реклами или поръчки за инспекция на възрастта. Щракването върху реклама, видеоклип или поръчка за удостоверение на възрастта демонстрира подправен начален екран за актуализация на Windows.

След това зловредният програмен продукт подканва потребителите да натиснат Windows + R, с цел да отворят прозореца „ Изпълнени “, да слагат авансово копирания злотворен код и да дават на киберпрестъпниците администраторски права.

След активиране, командата започва програмата mshta (Microsoft HTML Application Host) с URL-адрес, който служи и като вектор за офанзива. След това авансово конфигурирана помощна стратегия извлича нужното посредством шестнадесетичен URL-адрес и извършва нежелателен PowerShell код, с цел да предотврати осъществяването на дейности или откриването на злонамерената активност от инструментите като Bitdefender. Накрая, зловредният програмен продукт внедрява код, който декриптира PNG файла, извлича инструкциите и ги инжектира в процеси, които към този момент се извършват на целевата платформа. Това е последвано от осъществяването на стратегии за кражба на информация като Rhadamanthys или LummaC2, които събират данни и записват натисканията на клавиатурните клавиши, с цел да получат пароли, идентификационни данни и цифрово съхранени крипто портфейли, които по-късно се изпращат до външни сървъри.

Хънтрес споделя, че този съответен вид на ClickFix се появява онлайн от началото на октомври.

Хакерите крият злотворен код в видимо безобидни изображения или прибавят голям брой безполезни низове, даже обърквайки някои специалисти по киберсигурност благодарение на обфускация. Хънтрес твърди, че е разкрила странни детайли в кода, като да вземем за пример откъс от остаряла среща на Организация на обединените нации.

На потребителите се предлага да ревизират URL-адресите на домейните и да заобикалят кликването върху реклами или да извършват команди непосредствено на устройствата си.

Нека си напомним и най-актуалната киберзаплаха през днешния ден, съгласно специалистите на ESET. А съгласно калкулации на Microsoft, изкуственият разсъдък е повишил успеваемостта на фишинга с 4,5 пъти. ИИ е съдействал за повишение на кликаемостта върху подправените URL до 54% вместо 12% без приложимост на изкуствен интелект.