Хакерските групи издигат техниката ClickFix на ново ниво, като вече използват пълноекранни фалшиви Windows Update страници, които изглеждат почти неразличими от реалните системни обновления. Последните кампании, анализирани от Huntress, показват впечатляваща еволюция на класическия „натисни това“ подход, при който потребителите биват подтикнати да стартират зловредни команди сами, убедени, че помагат на компютъра си.
От фалшив CAPTCHA към фалшив Windows Update
Първите следи от новите ClickFix атаки се появяват през октомври. Вместо познатите прозорци за „Human Verification“, браузърите на жертвите се превключват в пълен екран, като показват стандартния син екран на Windows Update – с реалистична анимация „Working on updates“ и съобщения за прогрес.
След като „обновяването“ приключи, потребителят получава инструкция да натисне Win+R и да постави определена команда. Именно това действие стартира верижната операция по разгръщане на зловредния софтуер.
Payload, скрит в пикселите: ново ниво на прикриване
Най-интересният елемент, подчертан от изследователите на Huntress Бен Фоланд и Анна Фам, е начинът, по който нападателите крият payload-а. Вместо да прикачат зловреден код към файла по обичайния начин, те вграждат shellcode фрагменти в пикселните данни на PNG изображение.
Използва се конкретно червеният канал (Red Channel) на изображението, който съдържа байтовете на скрития код. Останалите цветови канали остават неизползвани. Когато атакуващият скрипт стартира, данните се извличат, реконструират и декриптират директно в паметта.
Тази техника прави зловредните компоненти значително по-трудни за засичане от традиционни антивирусни решения, които често анализират файлове, но не и съдържанието на изображения на подобно ниво.
Установено е, че чрез този механизъм се доставят популярни инфостийлъри като LummaC2 и Rhadamanthys.
Психологически натиск и техническа прецизност
Според Фоланд, комбинацията от убедителен фалшив интерфейс и инструкции, поднесени като „необходим технически процес“, създава измамно усещане за легитимност.
„Тази убедителна пълноекранна имитация на Windows Update, комбинирана с изискването за ръчно изпълнение на команда, показва, че атакуващите усъвършенстват както техническите методи, така и психологическите си трикове,“ отбелязва той.
ClickFix не използва уязвимости – използва несигурни поведения. Потребителят се доверява на визуалния интерфейс и на навика да следва инструкциите на екрана.
Как да разпознаем измамата
Според Huntress има два ключови индикатора, че „обновяването“ не е истинско:
-
Истинските Windows Updates никога не изискват от потребителя да отваря Run прозореца (Win+R) или да поставя команди.
-
Ако Windows Explorer стартира PowerShell самостоятелно – това е сериозен червен флаг.
Организациите се насърчават, когато е възможно, да ограничат употребата на Win+R в среди, където не е необходим.
Проблемът: пропуски в киберхигиената, не в софтуера
Както посочва Фоланд, ClickFix атаките експлоатират липса на осведоменост, а не слабости в операционната система:
„Хората са обучавани да не кликат непознати линкове, но много малко осъзнават, че дори използването на собствената им клавиатура може да ги компрометира.“
Това превръща ClickFix в една от най-опасните нови форми на социално инженерство – защото жертвата сама стартира зловредния код.
Новите ClickFix кампании показват колко бързо се развиват техниките за социално инженерство и колко умело нападателите съчетават психологически натиск с технологични иновации. Скриването на payload в пиксели и използването на фалшиви Windows Update екрани означава, че потребителите трябва да бъдат обучавани да разпознават не само подозрителни линкове, но и манипулативни системни интерфейси, които ги карат сами да компрометират устройствата си.
