Новая схема фишинга: под видом обновления Windows скрывается malware, угрожающий безопасности

Киберпреступники постоянно совершенствуют свои методы маскировки, внедряясь в повседневное программное обеспечение пользователей. За последние годы мы наблюдали фишинговые страницы, копирующие банковские порталы, ложные оповещения браузеров о заражении устройства и сценарии, побуждающие выполнять опасные команды. Последняя новинка — кампания ClickFix, которая использует новую тактику для обмана пользователей.

Обман под видом обновления Windows

Вместо привычных страниц подтверждения человеческого фактора, злоумышленники теперь маскируются под окно с обновлением Windows. Изображение выглядит настолько реалистично, что пользователь может без раздумий следовать инструкциям, что и требуется злоумышленникам. Такой подход повышает шансы на успешную атаку и усложняет её обнаружение.

Как работает новая схема ClickFix

Исследователи заметили, что злоумышленники усовершенствовали свою тактику. Теперь вместо страниц с проверкой человека появляется полноэкранное окно с имитацией обновления Windows. Оно содержит поддельные индикаторы прогресса, знакомые сообщения и запрос на выполнение критического обновления безопасности.

Если вы используете Windows, сайт просит открыть командную строку (Run), скопировать туда определённую команду и вставить её. В действительности эта команда запускает скрытую загрузку вредоносного файла — так называемого malware dropper. В финале злоумышленники получают доступ к вашим данным, используя инфостейлеров и другие вредоносные инструменты.

Тонкая работа скрытых технологий и обход фильтров

Как только команда вставлена, начинается цепочка заражения. Сначала файл mshta.exe обращается к удалённому серверу за скриптом, который скрыт за зашифрованными URL и ротированными путями. Далее выполняется запутанный PowerShell-скрипт, наполненный случайными инструкциями, чтобы усложнить обнаружение.

После этого в работу вступает скрытая часть — так называемый загрузчик, который использует стеганографию для сокрытия вредоносных данных внутри обычного изображения PNG. Этот метод позволяет скрыть код прямо в пикселях изображения, делая его невидимым для стандартных антивирусных сканеров.

Загруженный вредоносный код внедряется в доверенные процессы Windows, например explorer.exe, с помощью распространённых методов инъекции в память — VirtualAllocEx, WriteProcessMemory и CreateRemoteThread. В результате злоумышленники получают доступ к личным данным, паролям и учетным записям, собирая их через инфостейлеры типа LummaC2 и Rhadamanthys.

Как защититься от таких атак

Самый важный совет — проявлять бдительность и не следовать инструкциям, появляющимся на подозрительных страницах. Реционные обновления Windows никогда не требуют запуска команд из браузера. Если вам предлагают вставить команду в Run или PowerShell, лучше сразу закрыть страницу.

Обновления должны поступать только через официальный интерфейс — настройки Windows или системные уведомления. Любое всплывающее окно или сайт, предлагающий обновление, — подделка. Проверяйте URL и избегайте взаимодействия с подозрительными сайтами.

Инструменты защиты и советы для пользователей

• Используйте антивирусы с обнаружением поведения и защитой в реальном времени, которые могут выявлять скрытые и файлы, и процессы.
• Обязательно используйте менеджеры паролей — они создают надежные уникальные пароли и помогают обнаружить фишинговые сайты.
• Проверьте, не были ли ваши данные скомпрометированы при утечках, с помощью встроенных в менеджеры паролей сканеров.
• Регулярно уменьшайте свой цифровой след, заказывая удаление личных данных с сайтов и брокеров информации.

Проверяйте происхождение обновлений и избегайте запуска команд с подозрительных страниц. Только официальные источники гарантируют безопасность. Используйте современные антивирусные решения, чтобы повысить уровень защиты и своевременно обнаруживать угрозы.

Больше советов и лучших практик по безопасности — на сайте Cyberguy.com. Не забывайте, что ваша внимательность и правильная настройка защиты — залог сохранности ваших данных и устройств.