К слову об обновлениях.Поддельные обновления Windows вошли в новый цикл ClickFix-кампаний, о которых сообщили специалисты Huntress. Злоумышленники всё чаще подменяют проверку роботов на полноэкранные синие окна, имитирующие системное обновление. В первом абзаце Microsoft подчёркивает, что ClickFix стал самым распространённым способом первичного проникновения, и именно к этой схеме перешли многие группы с разным уровнем подготовки.
Атаки начинаются с посещения вредоносного сайта, переводящего браузер в полноэкранный режим и показывающего страницу, внешне совпадающую с интерфейсом обновления Windows. Жертву подталкивают выполнить критическое обновление вручную, следуя типичному ClickFix-сценарию: открыть окно запуска Win+R, вставить подготовленную строку и выполнить её. На этом этапе пользователь фактически запускает вредоносную цепочку сам.
Командная строка активирует mshta.exe с URL, в котором второй октет IP всегда закодирован шестнадцатерично. Дальше PowerShell загружает фрагмент .NET-кода, который после расшифровки подгружается прямо в память и передаёт управление следующему компоненту. Им становится модуль на .NET, отвечающий за скрытую доставку вредоносного ПО через стеганографию. Он извлекает зашифрованную оболочку Donut из пиксельных данных PNG-файлов, используя отдельные цветовые каналы для восстановления полезной нагрузки. Такой подход помогает уходить от сигнатурных механизмов защиты.
По данным Huntress, с 29 сентября по 30 октября 2025 года команда изучила 76 инцидентов, затронувших организации в США, странах EMEA и регионах APJ. Один из эпизодов включал трафик на 141.98.80[.]175. Во всех случаях цепочка использовала URL с шестнадцатеричным вторым октетом, ведущий к стеганографическому загрузчику. Исследователи обнаружили комментарии на русском языке в исходном коде страниц, имитирующих обновление, но авторство кампании установить не удалось.
Несмотря на проведённые 13 ноября операции Operation Endgame, направленные против инфраструктуры Rhadamanthys, сайты с поддельными обновлениями продолжали работать как минимум до 19 ноября. Все обнаруженные приманки ссылались на ту же структуру hex-кодированных адресов, ранее связанной с доставкой Rhadamanthys, хотя сам вредонос больше не размещался на этих ресурсах. Однако исследователи предупреждают, что инфраструктура может оперативно меняться.
Обе разновидности приманок под видом обновления Windows в итоге загружали на устройства Rhadamanthys, который похищает учётные данные пользователей. Чтобы снизить риск подобных атак, рекомендуется блокировать возможность вызова окна Run, информировать сотрудников о характере ClickFix-сценариев и напоминать, что ни одно законное обновление не требует вручную вставлять команды. Защитные решения уровня EDR помогут отслеживать ситуации, когда explorer.exe запускает mshta.exe, powershell.exe или другие исполняемые файлы с нетипичными аргументами.https://www.securitylab.ru/news/566498.php P\S
Мошенник-хакер создает полноэкранную веб-страницу, имитирующую предложение установить критическое обновление Windows — фейк воссоздается с точностью до кадров анимации, визуально окно очень похоже на системное. Под кнопку «Установить» подсовывается вредоносное ПО, которое тут же разворачивается на ПК.
Чтобы обойти антивирусные системы, хакеры добавляют еще одно или несколько диалоговых окон — это может быть просьба пройти «проверку на робота» или что-то не менее повседневное. Человек думает, что скачивает и устанавливает крайне важное «обновление Windows», а на самом деле своими руками разворачивает на компьютере троян.
Чтобы системы безопасности ПК не обнаружили скрытую работу вируса, хакеры маскируют вредоносный код под PNG-файлы, так что пользователь может очень долго не подозревать о заражении. К сожалению, спасти от таких атак может только собственная внимательность к деталям.
@iguides
|
К сожалению, спасти от таких атак может только собственная внимательность к деталям.
Я спокоен. 
Нет обновлений, нет проблем. 
|
Текущее время: 04-Июн 14:43
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
|
|
Вход
Регистрация![[Цитировать]](./styles/templates/shift/images/lang/ru/icon_quote.gif "Ответить с цитатой"){kind=icon}
Отправлено: 
Вверх