بدافزار ClickFix با تقلید از صفحه آپدیت ویندوز اطلاعات شما را به سرقت می‌برد

به اشتراک‌گذاری

یک گونه جدید و پنهان‌کار از بدافزار ClickFix در حال گسترش است و هر کاربری که به پیام به‌روزرسانی ویندوز اعتماد کند، مورد حمله قرار می‌دهد.

پژوهشگران امنیتی شرکت Huntress اعلام کرده‌اند که مهاجمان توانسته‌اند یک صفحه‌نمایش جعلی تمام‌صفحه شبیه‌سازی کنند که با شباهت کافی به صفحه اصلی آپدیت ویندوز، افراد را فریب می‌دهد تا به سادگی دسترسی کامل سیستم را در اختیار آن قرار دهند. تمام این روند از طریق یک ترفند ساده کپی‌پیست انجام می‌شود.

نوع جدید بدافزار ClickFix

این کلاهبرداری معمولاً در وب‌سایت‌هایی که مملو از پنجره‌های تبلیغاتی مشکوک هستند، ظاهر می‌شود. تنها یک کلیک اشتباه روی یک آگهی یا یک اعلان ساختگی تأیید سن کافی است تا کل مرورگر شما ناگهان به تصویری مشابه یک به‌روزرسانی ظاهراً معتبر ویندوز تبدیل شود که روی عدد 95 درصد متوقف مانده است. سپس پیام ادعا می‌کند که باید کلیدهای Windows + R را فشار دهید و یک فرمان خاص را برای تکمیل به‌روزرسانی در کادر اجرا وارد کنید. طبیعتاً این همان عملی است که بدافزار دقیقاً به دنبال آن است.

این فرمان به صورت پنهانی ابزار داخلی ویندوز با نام mshta را اجرا کرده و یک محموله مخرب را از یک سرور دوردست دریافت می‌کند. برای دشوارتر کردن شناسایی، کد مخرب شامل تعداد زیادی فرمان بیهوده است که هدفشان گمراه‌کردن نرم‌افزارهای امنیتی است. در یکی از عجیب‌ترین بخش‌های این ماجرا، قسمتی از کد مخرب درون یک تصویر PNG قرار داده می‌شود و سپس بدافزار، این کد پنهان‌شده در پیکسل‌های تصویر را استخراج کرده و سپس با استفاده از فناوری NET. خود را درون فرآیندهای در حال اجرای دیگر تزریق می‌کند.

پس از آن‌که بدافزار در سیستم مستقر شد، مرحله دوم آغاز می‌شود. بدافزارهای سرقت اطلاعات مانند Rhadamanthys یا LummaC2 روی دستگاه قربانی اجرا می‌شوند و از این نقطه به بعد، هر نوع داده حساس شامل گذرواژه‌ها، کوکی‌های مرورگر، ورودهای بانکی و اطلاعات کیف پول‌های رمزارزی هدف قرار می‌گیرد. همه داده‌ها جمع‌آوری و مستقیماً برای مهاجمان ارسال می‌شود.

پژوهشگران اعلام کرده‌اند که این کمپین از اوایل ماه اکتبر (مهرماه) فعال بوده و همچنان ادامه دارد و دامنه‌های متعدد مشابه، صفحه جعلی به‌روزرسانی را میزبانی می‌کنند. تحلیلگران همچنین رشته‌های متنی کاملاً بی‌معنا در کد یافته‌اند؛ از جمله اشاره عجیب به یکی از سخنرانی‌های قدیمی سازمان ملل که ظاهراً صرفاً برای اتلاف وقت تحلیلگران قرار داده شده است.

بدترین بخش ماجرا این است که این حمله کاملاً بر مهندسی اجتماعی متکی است. تنها یک وب‌سایت کافی است تا قربانی را فریب دهد و او خود فرمان مورد نظر مهاجم را اجرا کند.

توصیه می‌شود هیچ‌گاه هیچ فرمانی را از یک صفحه وب ناشناس کپی و در سیستم خود اجرا نکنید، حتی اگر ظاهر آن کاملاً رسمی باشد. به‌روزرسانی‌های واقعی ویندوز هرگز از شما نمی‌خواهند کادر Run را باز کنید.

منبع خبر