虚假Windows更新窃取密码和加密货币钱包

网络犯罪分子已对臭名昭著的 ClickFix 恶意软件进行了更新，使其伪装成合法的 Windows 更新程序，诱骗用户将恶意代码粘贴到“运行”窗口中。此次攻击的巧妙之处在于，它利用 PNG 文件中的像素数据触发恶意代码，窃取用户名、密码、加密钱包、银行账户信息和其他敏感信息。

Huntress 的研究人员最近发现了一种新的 ClickFix 变种。它会显示一个伪装成 Windows 更新的全屏浏览器窗口，进度条会卡在 95%，并显示为“关键安全更新”。这种恶意软件最常出现在模仿热门门户网站的虚假成人网站上，通常以广告或年龄验证提示的形式出现。点击此类元素就会触发虚假更新窗口。

用户随后会被提示按下 Windows + R 键，粘贴恶意代码，从而在不知不觉中授予网络攻击者管理员权限。该命令会启动 mshta（Microsoft HTML 应用程序主机）程序，并附带一个恶意 URL，该程序会从十六进制源文件下载其他代码。之后，PowerShell 脚本会被运行，从而干扰 Bitdefender 等安全程序，并解密 PNG 文件，从中提取 shell 命令，并将其注入到已运行的进程中。

虽然PNG格式看起来无害，但其像素中包含加密的恶意代码。一旦解密，就会触发Rhadamanthys或LummaC2等信息窃取程序，收集密码、凭证和加密钱包数据，并将其发送到境外服务器。

Huntress 报道称，这种变种病毒自 10 月初就开始传播，许多网站至今仍在托管虚假的更新窗口。黑客还用随机的文本行甚至奇怪的引语（包括联合国裁军会议的引语）来进一步混淆代码。

ClickFix是迄今为止最复杂的窃取数据恶意软件之一。专家建议用户检查域名URL，避免点击可疑广告，并且切勿在设备上输入任何未知命令。