Aktualizacja Windows? Nie daj się nabrać

ClickFix to technika inżynierii społecznej, która nakłania użytkowników do samodzielnego wklejania i uruchamiania złośliwego polecenia. Jedną z ostatnich metod wykorzystywanych przez cyberprzestępców jest podszywanie się pod Windows Updates.

Po animacji "instalacji" system prosi o wciśnięcie klawiszy Win+R, a później Ctrl+V i Enter.

W najnowszej kampanii oprócz fałszywej "captchy" hakerzy używają fałszywej aktualizacji Windowsa. Użytkownik widzi niebieski ekran imitujący interfejs Windows Updates w trybie pełnoekranowym.

Badacze z Huntress zauważyli, że atakujący stosowali techniki steganograficzne do ukrycia końcowych etapów działania malware. Złośliwy kod jest zakodowany bezpośrednio w danych pikseli obrazów PNG. Kod ten opiera się na określonych kanałach kolorów do odtworzenia i odszyfrowania payloadu w pamięci.

Po fałszywej weryfikacji "captcha" uruchomiony jest zdalny skrypt mshta. Polecenie to służy do uruchamiania programów - takiego jak JavaScript - które to mogą wykonać polecenia w kontekście konta użytkownika. Złośliwy skrypt jest pobierany z konta atakujących.

Po odszyfrowaniu jawny kod przechowywany jest w zmiennej code. Dalej kolejno zostaje on wstrzyknięty przy użyciu adresu URL blob. Następnie mshta uruchamia JavaScript, który pobiera kolejny moduł. Finalnie odszyfrowuje i ładuje komponent .NET.

W zależności od wariantu finalnym ładunkiem były stealery LummaC2 lub Rhadamanthys. Pełnoekranowy interfejs aktualizacji zwiększa wiarygodność scenariusza i skłania do wykonania skrótów klawiszowych, co otwiera drogę do infekcji.