Lažna Windows posodobitev krade gesla in kripto denarnice

Nova različica zlonamernega programa ClickFix se predstavlja kot legitimna posodobitev sistema Windows. S pomočjo skrite kode v PNG datotekah napadalci kradejo gesla, kripto denarnice in druge občutljive podatke. Raziskovalci opozarjajo na nevarnost lažnih spletnih strani in pozivajo k večji previdnosti.

Foto: Lenovo

Kibernetski kriminalci so posodobili zloglasni zlonamerni program ClickFix, ki se zdaj pretvarja, da je legitimna posodobitev sistema Windows. S tem uporabnike prelisičijo, da v okno »Zaženi« prilepijo zlonamerno kodo. Posebna premetenost tega napada je v tem, da uporablja podatke slikovnih pik iz datoteke PNG za sprožitev zlonamerne kode, ki kradejo uporabniška imena, gesla, kripto denarnice, bančne podatke in druge občutljive informacije.

Raziskovalci podjetja Huntress so nedavno razkrili novo različico ClickFix. Ta prikaže lažno celozaslonsko okno brskalnika, ki posnema posodobitev sistema Windows, skupaj z vrstico napredka, ki obstane pri 95 odstotkov za domnevno »kritično varnostno posodobitev«. Zlonamerna programska oprema se najpogosteje pojavlja na lažnih spletnih straneh za odrasle, ki posnemajo priljubljene portale, pogosto v obliki oglasov ali pozivov za preverjanje starosti. Klik na tak element sproži lažno okno posodobitve.

Uporabniki so nato pozvani, da pritisnejo tipko Windows + R, prilepijo zlonamerno kodo in s tem nevede omogočijo kibernetskim napadalcem dostop z administratorskimi pravicami. Ukaz zažene program mshta (Microsoft HTML Application Host) z zlonamernim URL-jem, ki prenese dodatno kodo iz heksadecimalnega vira. Nato se zaženejo PowerShell skripte, ki zmedejo varnostne programe, kot je Bitdefender, in dešifrirajo PNG datoteko, iz katere se pridobijo ukazi lupine, ki se vbrizgajo v že aktivne procese.

Čeprav se PNG zdi neškodljiv, v njegovih slikovnih pikah tiči šifrirana zlonamerna koda. Po dešifriranju se sprožijo infostealerji, kot sta Rhadamanthys ali LummaC2, ki zbirajo gesla, poverilnice in podatke kripto denarnic ter jih pošiljajo na tuje strežnike.

Huntress poroča, da se ta različica širi že od začetka oktobra, pri čemer številne domene še vedno gostijo lažno okno posodobitve. Hekerji dodatno zakrijejo kodo z naključnimi vrsticami ali celo nenavadnimi citati, med drugim iz zasedanja OZN o razorožitvi.

ClickFix je ena najbolj premetenih oblik zlonamerne programske opreme za krajo podatkov doslej. Strokovnjaki svetujejo, da uporabniki preverjajo URL-je domen, se izogibajo sumljivim oglasom in nikoli ne vnašajo neznanih ukazov v svoje naprave.