Így működik a ClickFix átverés
Az utóbbi hónapokban egyre gyakoribbak a ClickFix nevű támadások: a felhasználót arra kérik, hogy teljesítsen egy kritikus Windows-frissítést vagy egy „emberi ellenőrzést”. A hamis frissítési oldalon egy JavaScript-trükk automatikusan rosszindulatú parancsokat másol a vágólapra, amelyeket a gyanútlan áldozat beilleszt és futtat a rendszerén.
A támadók a legújabb ClickFix-változatokban a LummaC2 és a Rhadamanthys nevű adatlopó programokat telepítik. A csalók ravasz módszert választottak: a végső kártevőt képfájlok pixelszínei közé rejtik. A PNG-képek bizonyos színcsatornáiba titkosított kód futás közben, memóriában kerül visszafejtésre a Stego Loader nevű programmal.
Fejlett rejtőzködés és védekezés
A támadás többlépcsős: előbb a Windows mshta programjával végrehajtják a fertőző JavaScriptet, majd a PowerShell-lel és egy .NET-alkalmazással építik újjá az elrejtett kártevőt. A támadók a Donut nevű eszközzel csomagolják a kártevőmintákat, ezzel lehetővé téve, hogy különféle fájltípusokat is azonnal futtassanak a gépen.
Az újabb vizsgálatok feltárták, hogy az egyik Rhadamanthys-variáns hamis Windows Update-oldallal dolgozott, de mire a hatóságok felléptek, a trükk nagy részét már eltávolították – ám a hamis frissítős domainek ma is működnek.
A biztonsági szakértők azt javasolják, tiltsd le a Windows Futtatás ablakát, és figyeld a gyanús folyamatláncokat, például ha az explorer.exe elindítja az mshta.exe-t vagy a PowerShellt. Ha incidens történik, a RunMRU rendszerleíró kulcsot érdemes vizsgálni: ebből kiderül, milyen parancsokat adott meg a felhasználó.
