nyligen exponerade<\/a> den nya ClickFix-varianten. Den skadliga programvaran distribuerar en webbl\u00e4sarsida i helsk\u00e4rm som efterliknar en Microsoft Windows-uppdatering i helsk\u00e4rm, med en f\u00f6rloppsindikator och en 95% slutf\u00f6randestatus f\u00f6r en ”kritisk s\u00e4kerhetsuppdatering”
<\/p>\nDenna skadliga programvara finns fr\u00e4mst p\u00e5 falska vuxenwebbplatser som efterliknar popul\u00e4ra webbplatser, ofta f\u00f6rkl\u00e4dda som annonser eller \u00e5ldersverifieringsmeddelanden. N\u00e4r du klickar p\u00e5 en annons, video eller \u00e5ldersverifieringsprompt m\u00f6ts du med den falska Windows-uppdateringssk\u00e4rmen.
<\/p>\n
Den skadliga programvaran instruerar sedan anv\u00e4ndare att trycka p\u00e5 Windows-tangenten + R f\u00f6r att \u00f6ppna K\u00f6r, klistra in den f\u00f6rkopierade skadliga koden och delegera administrativ \u00e5tkomst till cyberbrottslingar.
<\/p>\n
N\u00e4r kommandot har aktiverats k\u00f6rs programmet mshta (Microsoft HTML Application Host) med en URL som ocks\u00e5 fungerar som en attackvektor. Det f\u00f6rinstallerade verktyget h\u00e4mtar sedan en nyttolast fr\u00e5n en hex-kodad URL och k\u00f6r skr\u00e4p PowerShell-kod f\u00f6r att f\u00f6rhindra att verktyg som Bitdefender vidtar \u00e5tg\u00e4rder eller uppt\u00e4cker skadlig aktivitet. Den distribuerar sedan kod som dekrypterar en PNG-fil, extraherar skalinstruktioner och injicerar dem i processer som redan k\u00f6rs p\u00e5 m\u00e5lplattformen.
<\/p>\n
PNG-bilden, trots att den verkar ofarlig, inneh\u00e5ller skadlig kod inb\u00e4ddad i pixeldata, som .NET-enheten dekrypterar. Efter flera ytterligare kommandon distribuerar den infostealers som Rhadamanthys eller LummaC2, som skrapar data och tangenttryckningar f\u00f6r l\u00f6senord, referenser och kryptopl\u00e5nb\u00f6cker som lagras digitalt och sedan skickar dem till utl\u00e4ndska servrar.
<\/p>\n
Huntress uppgav att denna speciella variant av ClickFix har cirkulerat p\u00e5 internet sedan b\u00f6rjan av oktober, med m\u00e5nga webbplatser och dom\u00e4ner som fortfarande \u00e4r v\u00e4rd f\u00f6r den falska uppdateringsprompten \u00e4ven n\u00e4r den distribueras med varierande niv\u00e5er av sofistikering p\u00e5 n\u00e4mnda webbplatser.
<\/p>\n
Hackare g\u00f6mmer skadlig kod i oskyldiga bilder eller l\u00e4gger till massor av v\u00e4rdel\u00f6sa rader, till och med f\u00f6rvirrande vissa cybers\u00e4kerhetsexperter som letar efter skadlig kod genom f\u00f6rvirring. Huntress uppgav att de hittade konstiga saker i koden, till exempel ett citat fr\u00e5n ett gammalt FN-m\u00f6te: ”N\u00e4r det g\u00e4ller steg III rekommenderar vi starkt fullst\u00e4ndig f\u00f6rst\u00f6relse av alla vapen, eftersom varaktig fred inte kan s\u00e4kerst\u00e4llas p\u00e5 annat s\u00e4tt.”
<\/p>\n
Denna ClickFix Windows Update malware \u00e4r \u00f6verl\u00e4gset en av de mest geniala men \u00e4nd\u00e5 olyckliga formerna av infostealing som hittills har sett. Det rekommenderas att kontrollera dom\u00e4n-URL: er och undvika att klicka p\u00e5 annonser eller k\u00f6ra n\u00e5gra kommandon direkt p\u00e5 sina enheter, s\u00e4rskilt n\u00e4r de oavsiktligt kan ge en \u00f6ppning f\u00f6r sofistikerad skadlig kod som ClickFix.<\/p>\n","protected":false},"excerpt":{"rendered":"Cyberbrottslingar har uppdaterat den \u00f6k\u00e4nda ClickFix Malware f\u00f6r att d\u00f6lja den som en legitim Windows Update, vilket lurar…\n","protected":false},"author":2,"featured_media":93566,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[66],"tags":[3018,736,7083,11010,11015,11012,7084,11017,11013,7085,11019,11014,11016,80,78,79,34,11011,11018,31,33,32,30,81,84,83,82],"class_list":{"0":"post-93565","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-vetenskap-och-teknik","8":"tag-cybersakerhet","9":"tag-windows","10":"tag-barbar-dator","11":"tag-clickfix","12":"tag-huntress","13":"tag-infostealer","14":"tag-laptop","15":"tag-lummac2","16":"tag-mshta","17":"tag-notebook","18":"tag-png","19":"tag-powershell","20":"tag-rhadamanthys","21":"tag-science","22":"tag-science-and-technology","23":"tag-scienceandtechnology","24":"tag-se","25":"tag-skadlig-kod","26":"tag-steganografi","27":"tag-svenska","28":"tag-sverige","29":"tag-sweden","30":"tag-swedish","31":"tag-technology","32":"tag-teknik","33":"tag-vetenskap","34":"tag-vetenskapteknik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@se\/115638860897324806","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/posts\/93565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/comments?post=93565"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/posts\/93565\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/media\/93566"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/media?parent=93565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/categories?post=93565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/se\/wp-json\/wp\/v2\/tags?post=93565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}