近期,網絡安全研究公司 Huntress 曝光一種更新版的 ClickFix 惡意軟件,該軟件的偽裝手法是目前最巧妙、最為險惡的信息竊取形式之一。
該惡意軟件主要模仿熱門網站的虛假成人網站內容,通常是以廣告或年齡驗證提示的形式彈出。如果用戶點擊便會出現一個全屏的 Windows 更新畫面,且進度條為95%。
如果用戶根據界面按下「Windows鍵 + R」打開運行窗口,並貼上安裝一段預先複製好的惡意代碼後,就會授予惡意軟件管理員權限。
用戶完成操作之後,惡意軟件便會利用系統預裝的 mshta 工具。為繞開安全軟件的檢測,系統會先運行一段垃圾 PowerShell 代碼,隨後才執行解密。
最隱蔽的操作是,惡意軟件通過解密一個看似無害的 PNG 圖片檔,從圖片像素數據中提取真正的 Shell 指令,便可注入到目標平台進行運行。
惡意軟件通過部署 Rhada-manthys 或 LummaC2 等資料竊取程式,竊取用戶保存在裝置本地的用戶名、密碼、加密貨幣錢包等敏感資料,並將發送至境外伺服器。
有的惡意軟件在代碼中使用混淆技術,插入一些不相干的內容,導致安全專家分析和檢測的難度提升。
Huntress 表示,該類惡意軟件從十月初開始在互聯網上流傳,用戶需要仔細核對域名 URL,避免點擊可疑廣告,特別是不要運行來源不明的命令。
