В атаках ClickFix используется фальшивый экран обновления Windows для установки вредоносного ПО

Исследователи зафиксировали новые варианты атак ClickFix, в которых злоумышленники обманывают пользователей с помощью реалистичной анимации обновления Windows, отображаемой в полноэкранном режиме браузера, и скрывают вредоносный код внутри изображений.

ClickFix — это схема обмана, в которой пользователя заставляют скопировать и выполнить команды в командной строке Windows. Эти команды запускают на компьютере вредоносное ПО.

Атака получила широкое распространение среди киберпреступников всех уровней из-за высокой эффективности и постоянно развивается, предлагая все более продвинутые и правдоподобные схемы обмана.

Полноэкранная страница браузера

С 1 октября исследователи наблюдают атаки ClickFix, где предлогом для выполнения опасных команд служит «завершение установки критического обновления безопасности Windows» или более распространенная уловка под названием «проверка, что вы человек».

Поддельная страница обновления инструктирует жертву нажать определенные клавиши в нужной последовательности. В этот момент на сайт загружается JavaScript, который автоматически копирует вредоносные команды в буфер обмена. После нажатия нужных клавиш команды вставляются и выполняются в командной строке.

Согласно отчету компании Huntress, новые варианты ClickFix загружают вредоносы семейства LummaC2 и Rhadamanthys.

В одном варианте злоумышленники используют страницу «проверки человечности», в другом – поддельный экран обновления Windows.

В обоих случаях применяется стеганография для размещения итоговой полезной нагрузки внутри изображения.

Исследователи Huntress объясняют:

Вместо простого добавления вредоносных данных в файл, код встраивается прямо в пиксели PNG-изображения, используя определенные цветовые каналы для восстановления и расшифровки полезной нагрузки в памяти.

Доставка финальной вредоносной программы начинается с использования штатного компонента Windows mshta для запуска вредоносного JavaScript-кода.

Дальше атака проходит несколько ступеней и включает выполнение PowerShell-кода и .NET-компонента — Stego Loader, который отвечает за восстановление полезной нагрузки из зашифрованного PNG.

В ресурсах Stego Loader находится AES-зашифрованный фрагмент, который фактически является стеганографическим PNG с shellcode. Восстановление осуществляется через кастомный C#-код.

Также исследователи заметили, что злоумышленники применили динамическую тактику уклонения (ctrampoline): точка входа функции делает цепочку из 10 тысяч вызовов пустых функций, чтобы усложнить анализ.

Shellcode с инфостилерами после извлечения из картинки оказывается упакован инструментом Donut, который позволяет выполнять VBScript, JScript, EXE, DLL и .NET-сборки прямо в памяти.

После распаковки специалисты Huntress смогли восстановить вредоносы — в рассматриваемых атаках ими были LummaC2 и Rhadamanthys.

Вариант Rhadamanthys, использующий поддельный экран Windows Update, впервые заметили в октябре, еще до того как 13 ноября операция Europol Operation Endgame частично вывела его инфраструктуру из строя.

По данным Huntress, после действий правоохранительных органов вредоносная нагрузка больше не доставляется через домены, показывающие поддельный экран обновления Windows, хотя сами домены все еще активны.

Чтобы защититься от подобных атак ClickFix, исследователи рекомендуют отключить окно «Выполнить» (Win+R) и отслеживать подозрительные цепочки процессов, например когда explorer.exe запускает mshta.exe или PowerShell.

Кроме того, при расследовании инцидентов специалисты могут проверить ключ реестра RunMRU, чтобы узнать, вводил ли пользователь какие-то команды в окне «Выполнить».