Хакеры внедряют вредоносное ПО через фальшивый «Центр обновления Windows

Киберпреступники активно применяют методы социальной инженерии и сложные технологии для обмана пользователей. Они создают поддельный «Центр обновления Windows» на полном экране браузера и маскируют вредоносный код в изображениях. Хакеры используют атаку ClickFix, чтобы убедить пользователей ввести код или команды в окно «Выполнить» (вызываемое сочетанием клавиш Win+R). Это приводит к установке вредоносного ПО на компьютер. С 1 октября исследователи зафиксировали атаки ClickFix, во время которых под видом установки критически важного обновления безопасности Windows происходило внедрение вредоносного ПО в систему. На поддельной странице обновления пользователям предлагается нажимать клавиши в определённой последовательности. Это вызывает окно «Выполнить», куда автоматически копируются и выполняются команды злоумышленника с помощью JavaScript, работающего на сайте. В результате на компьютер жертвы устанавливаются программы для кражи персональной информации LummaC2 и Rhadamanthys. Хакеры применяют два способа проникновения: через страницу верификации или поддельный экран «Центра обновления Windows». В обоих случаях они используют стеганографию для кодирования вредоносной нагрузки внутри изображения. Стеганография — это метод скрытой передачи информации, который не привлекает внимания к самому факту её существования. В современной стеганографии данные могут быть внедрены в изображение, медиафайл или любой другой вид данных. По словам исследователей из Huntress, вместо добавления вредоносных данных в файл, хакеры кодируют вредоносный код непосредственно в пиксельные данные PNG-изображений, используя определённые цветовые каналы для реконструкции и расшифровки полезной нагрузки в памяти. Для доставки вредоносного кода используется легитимный системный файл mshta.exe, входящий в состав операционной системы Windows. Хакеры применяют эту утилиту для выполнения вредоносного кода JavaScript. Весь процесс включает несколько этапов, использующих командную оболочку PowerShell и сборку .NET Stego Loader, которая отвечает за извлечение вредоносного кода, внедрённого в PNG-файл с помощью стеганографии. В ресурсах манифеста Stego Loader содержится зашифрованный блок данных, содержащий код для командной оболочки PowerShell. Этот код с вредоносным ПО извлекается из зашифрованного изображения и упаковывается с помощью инструмента Donut, который позволяет выполнять файлы VBScript, JScript, EXE, DLL и сборки .NET в памяти.