Логотип

Атака ClickFix использует поддельный экран Центра обновления Windows для распространения вредоносного ПО

Атака ClickFix использует поддельный экран Центра обновления Windows для распространения вредоносного ПО

Были замечены варианты атак ClickFix, в которых злоумышленники обманывают пользователей с помощью реалистичной анимации Центра обновления Windows на полноэкранной странице браузера и скрывают вредоносный код внутри изображений.

ClickFix — это атака с использованием методов социальной инженерии, в ходе которой пользователей убеждают вставить и выполнить в командной строке Windows код или команды, которые приводят к запуску вредоносного ПО в системе.

Из-за высокой эффективности эта атака получила широкое распространение среди киберпреступников всех уровней и постоянно совершенствуется с помощью всё более продвинутых и обманчивых приманок.

 

Страница браузера в полноэкранном режиме

С 1 октября исследователи наблюдают атаки ClickFix, в ходе которых злоумышленники выдают себя за установщиков критических обновлений безопасности Windows и используют более распространённую уловку «проверки человеком».

Поддельная страница обновления предлагает жертвам нажать определённые клавиши в определённой последовательности, что приводит к вставке и выполнению команд злоумышленника, которые были автоматически скопированы в буфер обмена с помощью JavaScript, работающего на сайте.

Поддельный экран обновления системы безопасности Windows

 

В отчёте поставщика услуг по обеспечению безопасности Huntress отмечается, что в новых вариантах ClickFix отсутствуют программы для кражи информации LummaC2 и Rhadamanthys.

В одном варианте хакеры используют страницу для подтверждения личности, а в другом — поддельный экран Центра обновления Windows.

Однако в обоих случаях злоумышленники использовали стеганографию для кодирования вредоносного ПО внутри изображения.

Читать  Logitech подтверждает утечку данных после атаки Clop с целью вымогательства

«Вместо того чтобы просто добавлять вредоносные данные в файл, вредоносный код кодируется непосредственно в пиксельных данных изображений в формате PNG. Для восстановления и расшифровки полезной нагрузки в памяти используются определённые цветовые каналы», — объясняет Huntress исследователи.

Доставка конечной полезной нагрузки начинается с использования собственного двоичного файла mshta для Windows для выполнения вредоносного кода на JavaScript.

Весь процесс состоит из нескольких этапов, на которых используется код PowerShell и сборка .NET (Stego Loader), отвечающая за восстановление конечной полезной нагрузки, встроенной в файл PNG в зашифрованном виде.

В ресурсах манифеста Stego Loader есть зашифрованный с помощью алгоритма AES двоичный файл, который на самом деле является стеганографическим PNG-файлом, содержащим шелл-код, который восстанавливается с помощью специального кода на C#.

Исследователи из компании Huntress заметили, что злоумышленник использовал тактику динамического уклонения, известную как ctrampoline, при которой функция точки входа начинает вызывать 10 000 пустых функций.

Цепочка вызовов на батуте
Источник: Huntress

 

Шелл-код, содержащий образцы инфостилеров, извлекается из зашифрованного образа и упаковывается с помощью инструмента Donut, который позволяет выполнять в памяти файлы VBScript, JScript, EXE, DLL и сборки .NET.

После распаковки исследователи Huntress смогли извлечь вредоносное ПО, которым в проанализированных атаках были LummaC2 и Rhadamanthys.

Приведенная ниже схема наглядно демонстрирует, как работает вся атака:

Читать  Новый червь «IndonesianFoods (Индонезийская кухня)» заполонил npm 100 000 пакетов

Обзор атаки
Источник: Huntress

 

Вариант Rhadamanthys, использовавший приманку в виде Центра обновления Windows, был впервые обнаружен исследователями ещё в октябре, до того как операция «Финал» вывела из строя часть его инфраструктуры 13 ноября.

Huntress сообщает, что в результате операции правоохранительных органов полезная нагрузка больше не доставляется на поддельные домены Центра обновления Windows, которые всё ещё активны.

Чтобы защититься от такого типа атак ClickFix, исследователи рекомендуют отключить окно «Выполнить» в Windows и отслеживать подозрительные цепочки процессов, например explorer.exe, запускающий mshta.exe или PowerShell.

Кроме того, при расследовании инцидентов, связанных с кибербезопасностью, аналитики могут проверить раздел реестра RunMRU, чтобы узнать, вводил ли пользователь команды в поле «Выполнить» в Windows.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:
, , ,
Microsoft, OS Windows, Безопасность в IT, НовостиIT
Кол-во комментариев: 0
KVM, OpenVZ, Hyper-V или VMware: глубокое сравнение виртуализаций для VPS и их влияние на производительность проектов
Вышла AlmaLinux 10.1 с полной поддержкой установки Btrfs
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно

Вредоносная программа Shai-Hulud заражает 500 пакетов npm и раскрывает секреты на GitHub
Вредоносная программа Shai-Hulud заражает 500 пакетов npm и раскрывает секреты на GitHub
Кибербезопасность и удаленный доступ: как совместить несовместимое
Кибербезопасность и удаленный доступ: как совместить несовместимое
Руководство пользователя Zypper Package Manager для пользователей openSUSE
Руководство пользователя Zypper Package Manager для пользователей openSUSE
Уязвимость в API WhatsApp позволила исследователям получить доступ к 3,5 миллиардам аккаунтов
Уязвимость в API WhatsApp позволила исследователям получить доступ к 3,5 миллиардам аккаунтов
Загрузка...

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала