10 exclude selected types Обновленная версия вредоносной программы 'ClickFix' маскируется под обновление Windows, используя данные пикселей PNG для внедрения похитителей информации Изображен поддельный экран обновления системы безопасности Windows (источник изображения: Bleeping Computer) Недавно обнаруженный вариант вредоносной программы ClickFix маскируется под критически важное обновление Windows, используя поддельное полноэкранное приглашение к обновлению, чтобы обманом заставить пользователей вставить вредоносную команду, предоставляющую злоумышленникам административный доступ. Исследователи Huntress обнаружили, что вредоносная программа использует скрытый код в пиксельных данных PNG для развертывания мощных похитителей информации, таких как Rhadamanthys и LummaC2, нацеленных на учетные данные, финансовые данные и криптовалютные кошельки в основном через заминированные сайты для взрослых. Rahim Amir Noorali ( перевод Ninh Duy), Опубликовано 30 November 2025 Обзоры exclude selected types Киберпреступники обновили печально известную вредоносную программу ClickFix, замаскировав ее под легальное обновление Windows, и обманом заставили пользователей вставить вредоносную команду в окно "Выполнить". Невероятно хитроумная программа использует пиксельные данные из PNG для внедрения похитителей информации, которые крадут Ваши имена пользователей, пароли, криптовалютные кошельки, банковские реквизиты, личную информацию и многое другое. Исследователи кибербезопасности Huntress недавно разоблачили новый вариант ClickFix. Вредоносная программа отображает полноэкранную страницу браузера, имитирующую полноэкранное обновление Microsoft Windows, с индикатором выполнения и статусом 95% завершения для "критического обновления безопасности" Эта вредоносная программа встречается в основном на поддельных сайтах для взрослых, которые имитируют популярные сайты, часто маскируясь под рекламу или подсказки о проверке возраста. Как только Вы нажимаете на рекламу, видео или запрос на проверку возраста, перед Вами появляется фальшивая заставка обновления Windows. Затем вредоносная программа инструктирует пользователей нажать клавиши Windows + R, чтобы открыть команду "Выполнить", вставить заранее скопированный вредоносный код и передать злоумышленникам административный доступ. После активации команды запускается программа mshta (Microsoft HTML Application Host) с URL-адресом, который также служит вектором атаки. Затем предустановленный инструмент получает полезную нагрузку с URL-адреса, закодированного в шестнадцатеричном формате, и запускает нежелательный код PowerShell, чтобы помешать таким инструментам, как Bitdefender, принять меры или обнаружить вредоносную активность. Затем он развертывает код, который расшифровывает PNG-файл, извлекает инструкции оболочки и внедряет их в процессы, уже запущенные на целевой платформе. Изображение PNG, несмотря на безобидный вид, содержит вредоносный код, встроенный в его пиксельные данные, которые сборка .NET расшифровывает. После нескольких дополнительных команд она запускает инфопохитителей, таких как Rhadamanthys или LummaC2, которые перебирают данные и нажатия клавиш для поиска паролей, учетных данных и криптокошельков, хранящихся в цифровом виде, а затем отправляют их на иностранные серверы. Хантресс заявила, что этот конкретный вариант ClickFix циркулирует в Интернете с начала октября, причем на многих сайтах и доменах до сих пор размещается поддельный запрос на обновление, даже когда он с разной степенью сложности внедряется на этих сайтах. Хакеры прячут вредоносный код в невинно выглядящих изображениях или добавляют тонны бесполезных строк, что даже сбивает с толку некоторых экспертов по кибербезопасности, ищущих вредоносный код с помощью обфускации. Компания Huntress заявила, что обнаружила в коде странные вещи, например, цитату со старого заседания ООН: "Что касается третьей стадии, мы настоятельно рекомендуем полностью уничтожить все оружие, поскольку в противном случае прочный мир не может быть обеспечен" Эта вредоносная программа ClickFix Windows Update, несомненно, является одной из самых изобретательных и в то же время зловещих форм похищения информации на сегодняшний день. Рекомендуется проверять URL-адреса доменов и избегать нажатия на рекламу или выполнения каких-либо команд непосредственно на своих устройствах, особенно когда они могут случайно открыть доступ к таким сложным вредоносным программам, как ClickFix. Источник(и) Source: https://www.notebookcheck-ru.com/Obnovlennaja-versija-vredonosnoi-programmy-ClickFix-maskiruetsja-pod-obnovlenie-Windows-ispolzuja-dannye-pikselei-PNG-dlja-vnedrenija-pokhititelei-informacii.1174198.0.html