پژوهشگران امنیتی هشدار میدهند که بدافزار ClickFix ویندوز صفحات جعلی بهروزرسانی را در وبسایتهای مشکوک پخش میکند.
به گزارش سرویس سیستمعامل کامپیوتر تکناک، گونهای جدید و مخفیکار از بدافزار ClickFix درحال گسترش و سادهترین قربانی ممکن را هدف گرفته است: هر کسی که به اعلان بهروزرسانی ویندوز اعتماد کند. پژوهشگران امنیتی شرکت Huntress میگویند که مهاجمان موفق شدهاند صفحهای کاملاً جعلی بسازند که شبیه بهروزرسانی واقعی ویندوز است؛ بهاندازهای قانعکننده که کاربران را فریب دهد تا دسترسی کامل را در اختیار بدافزار قرار دهند؛ آن هم تنها ازطریق ترفند ساده کپی و پیست.
این کلاهبرداری معمولاً در وبسایتهای مشکوک ظاهر میشود؛ بیشتر در صفحات استریم محتوای بزرگسالان که مملو از پاپآپهای خطرناک هستند. تنها یک کلیک اشتباه روی تبلیغ یا بررسیکردن سنی جعلی کافی است تا مرورگر شما به صفحه بهروزرسانی جعلی ویندوز تبدیل شود که روی ۹۵ درصد گیر کرده است. سپس ادعا میکند که برای تکمیل بهروزرسانی باید کلیدهای Windows + R را بزنید و دستوری خاص را در آن پیست کنید. بدیهی است که این دقیقاً همان چیزی است که بدافزار ویندوز انتظارش را دارد.
آن دستور ابزار داخلی ویندوز، یعنی mshta را در پسزمینه اجرا و محتوایی مخرب را از سرور راه دور دانلود میکند. برای سختترکردن شناسایی، کد شامل تعداد زیادی فرمان بیهوده است تا نرمافزارهای امنیتی را گمراه کند. در ترفندی عجیب، بخشهایی از کد مخرب داخل تصویر PNG پنهان شدهاند. بدافزار شلکد مخفی را مستقیماً از پیکسلهای تصویر استخراج و سپس با استفاده از .NET خودش را به فرایندهای درحال اجرا تزریق میکند.
پساز نفوذ به سیستم، مرحله دوم حمله آغاز میشود. بدافزارهای سرقت اطلاعات مانند Rhadamanthys یا LummaC2 روی دستگاه نصب میشوند و از آن لحظه، هر چیزی از رمزعبور گرفته تا کوکیهای مرورگر، ورودهای بانکی و دادههای کیفپولهای رمزارز درمعرض سرقت قرار میگیرند. تمام اطلاعات جمعآوری و به سرورهای مهاجمان ارسال میشوند.
پژوهشگران میگویند که این کمپین از اوایل ماه اکتبر فعال بوده است و همچنان ادامه دارد. هماکنون چندین دامنه جعلی نسخههای مشابه همین صفحه بهروزرسانی تقلبی را میزبانی میکنند. تحلیلگران دیجیتال حتی رشتههای تصادفی و بیفایدهای را در کد یافتهاند (ازجمله اشارهای عجیب به سخنرانی قدیمی سازمان ملل) که به نظر میرسد فقط برای اتلاف وقت تحلیلگران اضافه شدهاند.
به گفته گیزموچاینا، بدترین بخش ماجرا این است که کل حمله فقط بر مهندسی اجتماعی تکیه میکند. نه دانلود فایل وجود دارد، نه پاپآپ واضحی از بدافزار. فقط وبسایتی است که شما را فریب میدهد تا دستور خودش را اجرا کنید. در پایان، توصیه میکنیم که هیچوقت دستورهای وبسایت ناشناس را کپی و پیست نکنید؛ حتی اگر ظاهر آن رسمی به نظر برسد. بهروزرسانیهای واقعی ویندوز هرگز از شما نمیخواهند پنجره Run را باز کنید.
