Malware-ul ClickFix se prezintă drept actualizare Windows pentru a vă fura parolele, cookie-urile browserului și datele de autentificare bancară.
Atenție la pop-up-uri și comenzi speciale
O nouă variantă a malware-ului ClickFix păcălește utilizatorii încercând să pozeze ca o actualizare legitimă de Windows. Cercetătorii în securitate de la Huntress spun că atacatorii au reușit să creeze o imagine falsă de actualizare care apare pe tot ecranul. Aceasta arată suficient de convingător pentru a păcăli oamenii să-i acorde acces complet.
Escrocheria tinde să apară pe site-uri web dubioase, în mare parte pagini de streaming pentru adulți pline de ferestre pop-up dubioase. Un singur clic greșit pe o reclamă sau o verificare falsă a vârstei, iar întregul browser se transformă brusc în ceea ce pare a fi o actualizare Windows legitimă, blocată la 95%. Apoi mesjaul susține că trebuie să apeși Windows + R și să aplici o comandă specială pentru a finaliza actualizarea. Desigur, exact asta își dorește autorul virusului.
Această comandă lansează silențios mshta, un instrument încorporat în Windows, și extrage o sarcină utilă de pe un server la distanță. Pentru a îngreuna detectarea, codul include o mulțime de comenzi nedorite menite să deturneze software-ul de securitate. Într-una dintre situațiile mai ciudate, o parte din codul malițios este de fapt ascunsă într-o imagine PNG – malware-ul extrage cod shell ascuns direct din pixeli și apoi se injectează în alte procese care rulează folosind .NET.
Odată ce este încorporat în sistem, intră în a doua etapă. Încearcă să fure informații utile, folosind pe ascuns aplicații de furt al datelor. Acestea sunt instalate pe mașină, iar de acolo începe atacul asupra parolelor, cookie-urilor de browser, autentificărilor bancare și datelor portofelului cripto. Totul este detectat și trimis atacatorilor.
Cercetătorii spun că această campanie este activă cel puțin de la începutul lunii octombrie și este încă în desfășurare, cu mai multe domenii similare care găzduiesc ecranul fals de actualizare. Analiștii au găsit, de asemenea, șiruri de caractere aleatorii și inutile în cod – inclusiv o referință ciudată la un vechi discurs al ONU – aparent adăugate doar pentru a le pierde timpul cercetătorilor.
Cel mai rău lucru este că acest atac se bazează în întregime pe inginerie socială. Nu există descărcări de fișiere. Nu există ferestre pop-up malware evidente. Doar un site web care te păcălește să execuți comanda sa.
Sfatul specialiștilor este să nu copiați niciodată comenzi dintr-o pagină web aleatorie, indiferent cât de oficială pare. Actualizările Windows nu vă cer să efectuați comenzi manuale.
