En uppdaterad version av den skadliga programvaran "ClickFix" döljer sig som en Windows-uppdatering och använder PNG-pixeldata för att distribuera infostealers

Cyberbrottslingar har uppdaterat den ökända ClickFix Malware för att dölja den som en legitim Windows Update, vilket lurar användare att klistra in ett skadligt kommando i Run-fönstret. Det som är otroligt smart med det är att det använder pixeldata från en PNG för att distribuera infostealers som stjäl dina användarnamn, lösenord, kryptoplånböcker, bankuppgifter, personlig information och mer.

Huntress cybersäkerhetsforskare nyligen exponerade den nya ClickFix-varianten. Den skadliga programvaran distribuerar en webbläsarsida i helskärm som efterliknar en Microsoft Windows-uppdatering i helskärm, med en förloppsindikator och en 95% slutförandestatus för en "kritisk säkerhetsuppdatering"

Denna skadliga programvara finns främst på falska vuxenwebbplatser som efterliknar populära webbplatser, ofta förklädda som annonser eller åldersverifieringsmeddelanden. När du klickar på en annons, video eller åldersverifieringsprompt möts du med den falska Windows-uppdateringsskärmen.

Den skadliga programvaran instruerar sedan användare att trycka på Windows-tangenten + R för att öppna Kör, klistra in den förkopierade skadliga koden och delegera administrativ åtkomst till cyberbrottslingar.

När kommandot har aktiverats körs programmet mshta (Microsoft HTML Application Host) med en URL som också fungerar som en attackvektor. Det förinstallerade verktyget hämtar sedan en nyttolast från en hex-kodad URL och kör skräp PowerShell-kod för att förhindra att verktyg som Bitdefender vidtar åtgärder eller upptäcker skadlig aktivitet. Den distribuerar sedan kod som dekrypterar en PNG-fil, extraherar skalinstruktioner och injicerar dem i processer som redan körs på målplattformen.

PNG-bilden, trots att den verkar ofarlig, innehåller skadlig kod inbäddad i pixeldata, som .NET-enheten dekrypterar. Efter flera ytterligare kommandon distribuerar den infostealers som Rhadamanthys eller LummaC2, som skrapar data och tangenttryckningar för lösenord, referenser och kryptoplånböcker som lagras digitalt och sedan skickar dem till utländska servrar.

Huntress uppgav att denna speciella variant av ClickFix har cirkulerat på internet sedan början av oktober, med många webbplatser och domäner som fortfarande är värd för den falska uppdateringsprompten även när den distribueras med varierande nivåer av sofistikering på nämnda webbplatser.

Hackare gömmer skadlig kod i oskyldiga bilder eller lägger till massor av värdelösa rader, till och med förvirrande vissa cybersäkerhetsexperter som letar efter skadlig kod genom förvirring. Huntress uppgav att de hittade konstiga saker i koden, till exempel ett citat från ett gammalt FN-möte: "När det gäller steg III rekommenderar vi starkt fullständig förstörelse av alla vapen, eftersom varaktig fred inte kan säkerställas på annat sätt."

Denna ClickFix Windows Update malware är överlägset en av de mest geniala men ändå olyckliga formerna av infostealing som hittills har sett. Det rekommenderas att kontrollera domän-URL: er och undvika att klicka på annonser eller köra några kommandon direkt på sina enheter, särskilt när de oavsiktligt kan ge en öppning för sofistikerad skadlig kod som ClickFix.