Недавно обнаруженный вариант вредоносного ПО ClickFix начал маскироваться под критически важное обновление Windows, используя поддельное полноэкранное окно с запросом на апдейт. Когда пользователи устанавливают его, то злоумышленники получают права администратора. 

Исследователи Huntress обнаружили, что вредоносное ПО использует скрытый код в пиксельных данных PNG-файлов для внедрения мощн��х программ-инфостилеров, таких как Rhadamanthys и LummaC2. Они воруют учётные, финансовые данные и криптовалютные кошельки, в основном через веб-сайты для взрослых. 

Вредоносная программа открывает полноэкранную страницу браузера, имитирующую обновление Microsoft Windows, с индикатором выполнения и 95%-ным статусом завершения для «критического обновления безопасности». Вредонос запускается, если кликнуть «Выполнить» в этом окне. 

ClickFix встречается в основном на поддельных сайтах для взрослых, имитирующих популярные ресурсы, часто замаскированных под рекламу или запросы на подтверждение возраста. При нажатии на рекламу, видео или запрос на подтверждение возраста отображается поддельный экран-заставка апдейта Windows.

Затем вредоносная программа предлагает пользователям нажать клавиши Windows + R, чтобы открыть окно «Выполнить», вставить предварительно скопированный вредоносный код и предоставить киберпреступникам права администратора.

После активации команды она запускает программу mshta (Microsoft HTML Application Host) с URL-адресом, который также служит вектором атаки. Затем предустановленная утилита извлекает полезную нагрузку из шестнадцатеричного URL-адреса и запускает нежелательный код PowerShell, чтобы помешать таким инструментам, как Bitdefender, выполнить какие-либо действия или обнаружить вредоносную активность. Наконец, вредонос развёртывает код, который расшифровывает PNG-файл, извлекает инструкции оболочки и внедряет их в процессы, уже запущенные на целевой платформе. После этого начинают выполняться программы-инфостилеры, такие как Rhadamanthys или LummaC2, которые собирают данные и фиксируют нажатия клавиш для получения паролей, учётных данных и криптокошельков, хранящихся в цифровом виде, а затем отправляют их на внешние серверы.

В Huntress заявили, что этот конкретный вариант ClickFix появился в интернете с начала октября.

Хакеры скрывают вредоносный код в безобидных на вид изображениях или добавляют множество бесполезных строк, даже сбивая с толку некоторых экспертов по кибербезопасности с помощью обфускации. Huntress заявила, что обнаружила в коде странные элементы, например, цитату из одного из старых заседаний ООН.

Пользователям рекомендуется проверять URL-адреса доменов и избегать нажатия на рекламные объявления или выполнения каких-либо команд непосредственно на устройствах.

Ранее сообщалось, что хакеры начали проводить атаки ClickFix, нацеленные как на системы Windows, так и на Linux.