Хитрый вирус маскируется под обновление Windows для кражи данных
1 декабря в 19:00
1702
20
Эксперты по кибербезопасности обнаружили новый и изощренный способ распространения вредоносного программного обеспечения, известного как кампания ClickFix. Злоумышленники используют поддельный экран обновления Windows, чтобы обманом заставить пользователей самостоятельно установить программы для кражи информации, такие как LummaC2 и Rhadamanthys.
Как это работает?
- Пользователь посещает скомпрометированный или вредоносный сайт.
- На экране внезапно появляется полноэкранная страница, в точности имитирующая синий экран "Идет работа над обновлениями" Windows. Этот экран выглядит максимально реалистично, иногда даже с анимацией процесса установки.
- В конце этого процесса или во время него пользователю предлагается следовать инструкции, якобы для завершения критического обновления безопасности. Инструкция обычно требует от жертвы:
- Нажать Win+R (чтобы открыть окно "Выполнить").
- Вставить команду, которая уже была автоматически скопирована в буфер обмена.
- Запустить эту команду.
- Если пользователь выполняет эти действия, запускается многоступенчатая цепочка заражения:
- Сначала выполняется команда, которая загружает скрипт (через mshta.exe).
- Затем этот скрипт запускает обфусцированный код PowerShell.
- В конечном итоге загружается исполняемый файл-загрузчик (loader), который извлекает и запускает основной вредоносный инфостилер.
- Исследователи обнаружили, что в некоторых случаях атакующие используют стеганографию, чтобы спрятать части вредоносного кода внутри пикселей обычных изображений, что делает обнаружение еще более сложным.
Как защититься?
- Не доверяйте внезапным экранам: Настоящие обновления Windows никогда не просят пользователя самостоятельно вводить команды в окне "Выполнить" (Win+R). Обновления устанавливаются автоматически или через меню "Параметры".
- Ограничьте использование буфера обмена: Не копируйте и не вставляйте команды из непроверенных источников.
Другие публикации по теме
Компания NVIDIA вчера выпустила новый драйвер GeForce Game Ready 591.44, который решил проблему с производительностью в старых играх, использующих ускорение физики PhysX на видеокартах серии RTX 50.
Вчера в 19:00
352
1
Согласно данным из SteamDB и внутренних страниц магазина Steam, компания Valve ведёт работу над новой технологией совместимости под кодовым названием Lepton. Предполагается, что инструмент позволит запускать Android‑приложения и игры на устройствах с Linux‑операционными системами — в том числе на Steam Deck и будущей VR‑гарнитуре от Valve.
Вчера в 15:28
288
1
Компания Intel представила очередную версию графических драйверов — Arc GPU 101.8331 WHQL. Обновление охватывает дискретные графические процессоры Arc серий A и B, а также встроенные графические процессоры в процессорах Core Ultra серий 1 и 2.
Вчера в 14:26
207
0