Новая версия вредоноса ClickFix маскируется под обновление Windows

Недавно обнаруженный вариант вредоносного ПО ClickFix начал маскироваться под критически важное обновление Windows, используя поддельное полноэкранное окно с запросом на апдейт. Когда пользователи устанавливают его, то злоумышленники получают права администратора. 

Исследователи Huntress обнаружили, что вредоносное ПО использует скрытый код в пиксельных данных PNG-файлов для внедрения мощных программ-инфостилеров, таких как Rhadamanthys и LummaC2. Они воруют учётные, финансовые данные и криптовалютные кошельки, в основном через веб-сайты для взрослых. 

Вредоносная программа открывает полноэкранную страницу браузера, имитирующую обновление Microsoft Windows, с индикатором выполнения и 95%-ным статусом завершения для «критического обновления безопасности». Вредонос запускается, если кликнуть «Выполнить» в этом окне. 

ClickFix встречается в основном на поддельных сайтах для взрослых, имитирующих популярные ресурсы, часто замаскированных под рекламу или запросы на подтверждение возраста. При нажатии на рекламу, видео или запрос на подтверждение возраста отображается поддельный экран-заставка апдейта Windows.

Затем вредоносная программа предлагает пользователям нажать клавиши Windows + R, чтобы открыть окно «Выполнить», вставить предварительно скопированный вредоносный код и предоставить киберпреступникам права администратора.

После активации команды она запускает программу mshta (Microsoft HTML Application Host) с URL-адресом, который также служит вектором атаки. Затем предустановленная утилита извлекает полезную нагрузку из шестнадцатеричного URL-адреса и запускает нежелательный код PowerShell, чтобы помешать таким инструментам, как Bitdefender, выполнить какие-либо действия или обнаружить вредоносную активность. Наконец,