详细内容或原文请订阅后点击阅览
新的 ClickFix 攻击使用 Windows Update 欺骗图片来窃取凭据
中毒的 PNG 包含恶意代码 新一波的 ClickFix 攻击正在使用虚假的 Windows 更新屏幕来诱骗受害者下载信息窃取恶意软件。
来源:The Register _恶意软件新一波的 ClickFix 攻击正在使用虚假的 Windows 更新屏幕来诱骗受害者下载信息窃取恶意软件。
ClickFix 是一种社会工程技术,通常使用虚假修复或“我不是机器人”提示来诱骗用户在自己的计算机上运行恶意命令。这些类型的攻击在过去一年中激增,政府资助的间谍和网络犯罪团伙都使用这种技术来传播恶意软件。
点击修复 飙升根据微软的说法,ClickFix 现在是攻击者最常见的初始访问方法。
最常见的初始访问方式根据 Huntress 安全分析师 Ben Folland 和 Anna Pham 的说法,最近的 ClickFix 攻击正在不再使用机器人检查诱饵,而是使用“高度可信”的虚假 Windows 更新屏幕。
使用“极具说服力”的虚假 Windows 更新屏幕在另一个新的变化中,恶意软件传播者使用隐写加载程序来传递信息窃取恶意软件,包括 Rhadamanthys,将恶意代码直接编码到 PNG 图像的像素数据中,然后使用特定的颜色通道在内存中重建和解密恶意软件。该技术还可以帮助恶意负载逃避基于签名的检测。
“从 2025 年 9 月 29 日到 2025 年 10 月 30 日,Huntress 调查并响应了与此活动相关的 76 起事件。这些事件影响了美国、欧洲、中东和非洲以及亚太及日本地区的众多不同组织,”Huntress 安全运营分析师 Ben Folland 告诉 The Register。其中一个涉及此 IP 地址:141.98.80[.]175,因此防御者应留意源自该地址的任何流量。
寄存器所有事件都有一个显着特征:第一阶段有效负载引用带有十六进制编码的第二个八位字节的 URL,最终导致隐写加载程序
这个Huntress 不知道谁是这些活动的幕后黑手,但注意到 Windows 更新诱饵网站的源代码包含俄语评论。