New ClickFix wave infects users with hidden malware in images and fake Windows updates
多名研究人员指出,持续进行的ClickFix活动出现了新的发展:攻击者现在模仿Windows更新屏幕来诱骗人们运行恶意软件。
ClickFix活动使用具有说服力的诱饵,历史上是“人工验证”屏幕,现在则是一个完全模仿真实Windows更新界面的虚假“Windows更新”启动页面。两者都要求用户从剪贴板粘贴命令,这使得攻击高度依赖于用户交互。
正如Joe Security所示,ClickFix现在在一个设计得与Windows更新完全一样的页面上显示其欺骗性指令。在全屏模式下,运行Windows的访客会看到指示,告诉他们将恶意命令复制并粘贴到“运行”框中。
|
|
攻击者希望你运行的“某物”是一个下载并运行恶意软件投放器的mshta命令。通常,最终的有效载荷是Rhadamanthys信息窃取程序。
技术细节
如果用户按照显示的指示操作,将启动一系列感染步骤:
- 第1阶段:mshta.exe 下载一个脚本(通常是JScript)。URL一致地使用十六进制编码第二个八位字节,并且经常轮换URI路径以规避基于签名的阻止列表。
- 第2阶段:该脚本运行PowerShell代码,其中混杂了垃圾代码以混淆分析。
- 第3阶段:PowerShell解密并加载一个充当加载器的.NET程序集。
- 第4阶段:加载器使用自定义的隐写术,从资源图像中提取下一阶段(恶意Shellcode)。简而言之,我们将所有在不易引起怀疑的事物中隐藏秘密信息的技术称为隐写术。在这种情况下,恶意软件被嵌入到PNG文件内特定的像素颜色数据中,使得检测变得困难。
- 第5阶段:Shellcode被注入到一个受信任的Windows进程中(如explorer.exe),使用经典的内存中技术,如
VirtualAllocEx、WriteProcessMemory和CreateRemoteThread。 - 最终有效载荷:最近的攻击投放了信息窃取恶意软件,例如LummaC2(由Huntress提供配置提取器)和Rhadamanthys信息窃取程序。
关于ClickFix使用的隐写术的详细信息:
恶意有效载荷被直接编码到PNG像素颜色通道(尤其是红色通道)中。使用自定义的隐写算法从原始PNG文件中提取Shellcode。
攻击者秘密地将恶意软件的部分内容插入到图像的像素中,特别是通过仔细更改红色通道中的颜色值(该通道控制每个像素的红色程度)。对于任何查看图片的人来说,它看起来完全正常,没有任何迹象表明它不仅仅是一张图片。
但是,当恶意软件脚本运行时,它确切地知道该“查看”图像内部的哪些位置来找到那些隐藏的数据位。脚本提取并解密这些像素数据,将碎片拼接起来,直接在计算机内存中重建恶意软件。
由于恶意软件从未以明显的文件形式存储在磁盘上,并且隐藏在看似无辜的图片内部,因此反恶意软件或安全程序更难发现它。
如何保持安全
随着ClickFix的肆虐——而且看起来它不会很快消失——保持警惕、谨慎和受到保护非常重要。
- 放慢速度。不要急于遵循网页或提示上的指示,特别是如果它要求你在设备上运行命令或复制粘贴代码。攻击者依靠紧迫感来绕过你的批判性思维,因此要对敦促立即行动的页面保持警惕。复杂的ClickFix页面会添加倒计时、用户计数器或其他施压策略,迫使你快速行动。
- 避免运行来自不受信任来源的命令或脚本。切勿运行从网站、电子邮件或消息中复制的代码或命令,除非你信任来源并了解操作目的。独立验证指示。如果网站告诉你执行命令或执行技术操作,请先通过官方文档查看或联系支持人员,然后再进行。
- 限制对命令使用复制粘贴。手动输入命令而不是复制粘贴可以降低无意中运行隐藏在复制文本中的恶意有效载荷的风险。
- 保护你的设备。使用带有网络保护组件的、最新的实时反恶意软件解决方案。
- 了解不断发展的攻击技术。了解攻击可能来自意想不到的途径并不断发展,有助于保持警惕。继续阅读我们的博客!
专业提示:你知道免费的Malwarebytes Browser Guard扩展程序会在网站尝试向你的剪贴板复制内容时发出警告吗?
我们不只是报道骗局——我们还帮助检测它们
网络安全风险绝不应仅限于头条新闻。如果你觉得某些东西看起来很可疑,请使用Malwarebytes Scam Guard(我们移动保护产品的一项功能)检查它是否是骗局。提交截图、粘贴可疑内容或共享文本或电话号码,我们将告诉你它是骗局还是合法的。立即下载适用于iOS或Android的Malwarebytes Mobile Security并尝试!