Поддельный экран обновления Windows дополнил технику ClickFix
2 мин
71
Поддельный экран обновления Windows стал одним из инструментов новой волны кибератак ClickFix. Пользователей заманивают на фейковые страницы и заставляют вручную запускать вредоносные команды через окно «Выполнить» (Run).
Представляет собой технику социальной инженерии. Киберпреступники под разными предлогами убеждают пользователя выполнить команды, что в итоге должно привести к компрометации системы. В большинстве случаев просят скопировать и выполнить скрипт PowerShell.
ClickFix настолько популярный арсенал эффективных приёмов хакеров, что есть даже готовые фишинговые наборы для новичков. Метод адаптирован под Windows, macOS и Linux. В macOS пользователя заставляют запускать команды через терминал, а админам рекомендуют ограничить к нему доступ и блокировать неподписанные скрипты.
Схема выглядит так: при заходе на фишинговую страницу браузер переключается в полноэкранный режим и показывает правдоподобный экран Windows Update. Пользователь считает, что обновляет операционную систему, и запускает вредонос. Процесс начинается с запуска mshta.exe с IP-адресом, где часть октета указана в шестнадцатеричном формате. Вредоносный код спрятан в пикселях PNG-изображений с помощью стеганографии, что усложняет его обнаружение, так как заражение происходит только в оперативной памяти. Чтобы обойти защиту, злоумышленники используют обфусцированные скрипты, легитимные процессы и динамически загружаемый код.
Эксперты ИБ советуют системным администраторам в компаниях отключать панель «Выполнить» у обычных пользователей, используя групповые политики или реестр, чтобы блокировать ввод вредоносных команд. Они также рекомендуют объяснить пользователям, что нормальные обновления не требуют ручного запуска команд через браузер и окно «Выполнить». Также стоит отслеживать с помощью EDR подозрительную активность explorer.exe, mshta.exe и powershell.exe.
