ClickFix притворяется Windows Update и ворует данные через пиксели PNG

Самая хитрая малварь сезона: фейковое обновление, стеганография и инфостилеры нового поколения.

Обновлённый ClickFix: теперь в образе Windows Update

Новая вариация ClickFix делает гениально простую, но до жути опасную вещь — притворяется системным обновлением Windows. Полноэкранная подделка с прогресс-баром и надписью «95% — critical security update» выглядит настолько убедительно, что большинство пользователей даже не моргнут.

За фейком стоит классическая схема социальной инженерии: открыть сомнительный сайт (чаще подделку под популярные ресурсы для взрослых), кликнуть по рекламе или «проверке возраста» — и сразу получить перед собой «обновление Windows».

Как ловят пользователей

ClickFix не пытается что-то скрывать — он просто даёт вам инструкцию:
Win + R → вставить команду → нажать Enter.

И вот этим действием пользователь лично вручает злоумышленникам админский доступ. Команда запускает mshta, а тот подтягивает полезную нагрузку с хекс-кодированного URL, где уже ждёт PowerShell-каша, блокирующая антивирусы.

Магия PNG: код внутри пикселей

Самое изящное в этой атаке — стеганография.
Обычный PNG выглядит как безобидная картинка, но в пикселях спрятан зашифрованный вредоносный код. .NET-сборка аккуратно его вытаскивает, дешифрует и вбрасывает в работающие процессы.

Дальше развязка: установка инфостилеров Rhadamanthys или LummaC2, которые собирают пароли, ключи, криптокошельки, финансовые данные и личную информацию, передавая всё это на удалённые сервера.

Странности в коде: цитаты из ООН и мусорные строки

Исследователи Huntress нашли в ClickFix и довольно сюрреалистичные элементы. Например, цитату с заседания ООН:
«Полное уничтожение всех видов вооружения — единственный путь к устойчивому миру».

То ли пасхалка, то ли эстетика у автора такая — кого теперь удивишь в эпоху постироничных кибератак.

Почему это важно

ClickFix в версии «Windows Update Edition» — один из самых технически хитрых инфостилеров, которые мы видели за последние годы. Социальная инженерия + встроенные инструменты Windows + стеганография в PNG + мощные стилеры = очень неприятный коктейль.

Как не стать жертвой

— Не вставляйте команды, которые «предлагает» вам браузер.
— Не доверяйте обновлениям, появившимся из ниоткуда.
— Держитесь подальше от сайтов с навязчивой рекламой.
— И помните: если Windows обновляется через порно-сайт — это не Windows.