یک گونه تازه از بدافزار ClickFix در حال انتشار است و قربانیان اصلی آن کسانی هستند که به اعلانهای بهروزرسانی ویندوز اعتماد میکنند. پژوهشگران امنیتی شرکت Huntress میگویند مهاجمان توانستهاند یک صفحهنمایش جعلی تمامصفحه طراحی کنند که به اندازه کافی واقعی به نظر میرسد تا کاربران را فریب دهد و دسترسی کامل بگیرد (آن هم تنها با یک ترفند ساده کپیـپیست).
این کلاهبرداری معمولاً در وبسایتهای مشکوک ظاهر میشود. تنها یک کلیک اشتباه روی یک تبلیغ یا تأیید سن جعلی کافی است تا مرورگر شما بهطور کامل به چیزی شبیه یک بهروزرسانی ویندوز گیر کرده در 95 درصد تبدیل شود. سپس ادعا میکند باید کلیدهای Windows + R را فشار دهید و یک دستور خاص را برای تکمیل بهروزرسانی وارد کنید؛ دقیقاً همان چیزی که بدافزار میخواهد. این دستور بهطور مخفیانه ابزار داخلی ویندوز mshta را اجرا کرده و بار مخربی را از یک سرور راه دور دریافت میکند.
برای سختتر کردن شناسایی، کد شامل تعداد زیادی دستورات بیفایده است تا نرمافزارهای امنیتی را گیج کند. در یکی از عجیبترین بخشها، بخشی از کد مخرب درون یک تصویر PNG پنهان شده است؛ بدافزار کد مخفی را از پیکسلها استخراج کرده و سپس با استفاده از .NET خود را در فرآیندهای در حال اجرا تزریق میکند. پس از جای گیری در سیستم، مرحله دوم آغاز میشود. بدافزارهای شناختهشدهای مانند Rhadamanthys یا LummaC2 روی دستگاه نصب میشوند و از آن لحظه، رمزهای عبور، کوکیهای مرورگر، ورودهای بانکی و دادههای کیف پولهای رمزارز هدف قرار میگیرند.
همه اطلاعات جمعآوری شده و به مهاجمان ارسال میشود. پژوهشگران میگویند این کمپین دستکم از اوایل اکتبر فعال بوده و همچنان ادامه دارد و دامنههای جعلی متعددی صفحه بهروزرسانی تقلبی را میزبانی میکنند. هرگز دستورات را از صفحات وب ناشناس کپی و در سیستم خود اجرا نکنید، حتی اگر ظاهر رسمی داشته باشند. بهروزرسانیهای واقعی ویندوز هرگز از شما نمیخواهند جعبه Run را باز کنید.
