Lažno ažuriranje sustava Windows krade lozinke i kripto novčanike

Kibernetički kriminalci ažurirali su zloglasni zlonamjerni softver ClickFix koji se sada pretvara da je legitimno ažuriranje sustava Windows, varajući korisnike da zalijepe zlonamjerni kod u prozor Run. Ono što ovaj napad čini posebno pametnim jest to što koristi pikselne podatke iz PNG datoteke za pokretanje zlonamjernog koda koji krade korisnička imena, lozinke, kripto novčanike, bankovne podatke i druge osjetljive podatke.

Istraživači u Huntressu nedavno su otkrili novu varijantu ClickFixa. Prikazuje lažni prozor preglednika preko cijelog zaslona koji oponaša ažuriranje sustava Windows, s trakom napretka zaglavljenom na 95 posto za navodno "kritično sigurnosno ažuriranje". Zlonamjerni softver najčešće se nalazi na lažnim web stranicama za odrasle koje oponašaju popularne portale, često u obliku oglasa ili upita za provjeru dobi. Klikom na takav element pokreće se lažni prozor ažuriranja.

Korisnici se zatim potiču da pritisnu Windows + R i zalijepe zlonamjerni kod, nesvjesno dajući kibernetičkim napadačima pristup s administratorskim privilegijama. Naredba pokreće program mshta (Microsoft HTML Application Host) sa zlonamjernim URL-om, koji preuzima dodatni kod iz heksadecimalnog izvora. Zatim se pokreću PowerShell skripte, zbunjujući sigurnosne programe poput Bitdefendera i dešifrirajući PNG datoteku iz koje se izdvajaju shell naredbe koje se ubrizgavaju u već pokrenute procese.

Iako se PNG čini bezopasnim, njegovi pikseli sadrže šifrirani zlonamjerni kod. Nakon dešifriranja, aktiviraju se kradljivci informacija poput Rhadamanthys ili LummaC2, prikupljajući lozinke, vjerodajnice i podatke o kripto novčaniku te ih šaljući na strane poslužitelje.

Huntress izvještava da se ova varijanta širi od početka listopada, a mnoge domene i dalje hostiraju lažni prozor za ažuriranje. Hakeri dodatno prikrivaju kod nasumičnim retcima ili čak čudnim citatima, uključujući i one s UN-ovog sastanka o razoružanju.

ClickFix je jedan od najsofisticiranijih oblika zlonamjernog softvera za krađu podataka ikad. Stručnjaci savjetuju korisnicima da provjeravaju URL-ove domena, izbjegavaju sumnjive oglase i nikada ne unose nepoznate naredbe u svoje uređaje.