Новый ClickFix: фальшивый Windows Update и вредонос, скрытый в PNG

Новый ClickFix: фальшивый Windows Update и вредонос, скрытый в PNG

Новый ClickFix: фальшивый Windows Update и вредонос, скрытый в PNG

Киберпреступники продолжают развивать популярную схему ClickFix: теперь используются максимально правдоподобные подделки под Windows Update, а вредоносный код прячут прямо внутри изображений. ClickFix — вектор атаки, в котором жертву убеждают вручную вставить и выполнить опасные команды в Windows.

Подход оказался настолько эффективным, что его массово подхватили злоумышленники разного уровня, и со временем он стал только изощрённее.

С 1 октября исследователи фиксируют новые варианты: страница в браузере разворачивается на весь экран и показывает якобы критическое обновление безопасности Windows или привычную многим «проверку, что вы не робот».

На деле JavaScript на сайте автоматически копирует в буфер обмена подготовленные команды, а «инструкция» на странице просит пользователя нажать нужную последовательность клавиш, тем самым выполняя код злоумышленника.

Эксперты Huntress отмечают, что такие атаки сейчас приводят к установке инфостилеров LummaC2 и Rhadamanthys. Приманки бывают разные — от страниц с «проверкой на человека» до поддельных экранов Windows Update. Но общий элемент у них один: финальный пейлоад зашит в PNG-картинку с помощью стеганографии.

Источник: BleepingComputer

 

Вместо простого дописывания данных в файл злоумышленники встраивают вредоносный код прямо в пиксели. Расшифровка происходит в памяти, а запускается цепочка через mshta.exe, который выполняет вредоносный JavaScript. Далее включается многоступенчатая схема загрузки: PowerShell, .NET-сборка Stego Loader, AES-зашифрованный блоб внутри ресурсов и сборка шелл-кода, упакованного инструментом Donut.

В Huntress также обратили внимание на приём ухода от анализа: в одном из вариантов точка входа начинала по цепочке вызывать 10 000 пустых функций — техника известная как ctrampoline.

 

Итогом всех манипуляций становится загрузка LummaC2 или Rhadamanthys. Интересно, что вариант Rhadamanthys, использующий поддельный Windows Update, впервые заметили в октябре — а после операции Европола Endgame 13 ноября его инфраструктура оказалась частично выведена из строя. Из-за этого на тех же доменах обновлений вредонос больше не доставляется, хотя страницы остаются доступными.

Специалисты советуют компаниям отключить окно «Выполнить» (Windows Run) и внимательно отслеживать подозрительные цепочки процессов вроде explorer.exe → mshta.exe или PowerShell. В ходе реагирования на инцидент также полезно проверять ключ реестра RunMRU — в нём можно увидеть, какие команды пользователь запускал вручную.

Детские сим-карты в России хотят ставить на стоп при нулевом балансе

Минцифры предложило новые правила для детских сим-карт: если на счету закончились деньги, оператор должен будет автоматически отключать платные услуги связи. Документ опубликован на портале проектов нормативных правовых актов.

Речь идёт о номерах, оформленных на несовершеннолетних, а также о сим-картах, которые родители передали детям.

Ограничение касается авансовой системы расчётов, когда сначала пополняешь баланс, а потом пользуешься связью. При нуле на счету должны приостанавливаться звонки, СМС, мобильный интернет и дополнительные платные услуги.

В Минцифры поясняют: экстренная связь никуда не денется. Вызов 112 и других служб останется доступен круглосуточно и бесплатно. Входящие и другие бесплатные услуги также сохранятся. Главная идея — не дать ребёнку уйти в минус или случайно накупить услуг без ведома родителей.

Но автоблокировка — только часть пакета. Для детских номеров также хотят полностью запретить входящие звонки из-за границы, отключить роуминг за пределами России, убрать массовые рассылки, включая рекламу и часть банковских сообщений, и бесплатно фильтровать контент, который может навредить ребёнку.

Чтобы ограничения заработали, родителю нужно будет сообщить оператору, что номер передан несовершеннолетнему, и указать возраст ребёнка. Сделать это можно в салоне связи, через личный кабинет или электронным документом с усиленной квалифицированной подписью. Если договор заключил сам несовершеннолетний, правила тоже будут применяться.

Проект затрагивает не только детские сим-карты. В правила хотят добавить запрет на быстрый отказ от номера: абонент-физлицо не сможет расторгнуть договор раньше чем через 90 дней после получения сим-карты. Это должно ударить по серым симкам, которые мошенники используют для обзвона и быстро выбрасывают.

Новые нормы могут вступить в силу 1 марта 2027 года и действовать до конца 2030-го. Затраты операторов на выполнение требований оцениваются от 300 млн до 3 млрд рублей. Контролировать всё это будет Роскомнадзор.

RSS: Новости на портале Anti-Malware.ru