Киберпреступники совершенствуют методы маскировки, чтобы обмануть пользователей и внедрить вредоносное ПО через привычные приложения и системы. За последние годы мы стали свидетелями множества атак: фальшивые страницы банковских порталов, ложные предупреждения в браузере о заражении устройства и заставки, заставляющие выполнять опасные команды. В последнее время особое внимание привлекает новая тактика — использование имитации обновлений Windows в рамках кампании, известной как ClickFix.
Усложнение схемы: фальшивые обновления Windows вместо обычных капканов
Ранее злоумышленники использовали страницы проверки человечности или фальшивые запросы на подтверждение личности. Теперь же они создают странички, которые полностью имитируют интерфейс обновлений Windows, делая их практически неотличимыми от настоящих. Эксперты из Joe Security отмечают, что эти страницы показывают фальшивые индикаторы прогресса, знакомые сообщения об обновлении и запросы на выполнение важных исправлений безопасности.
Если пользователь находит такую страницу, ему предлагают открыть командную строку или запустить определённую команду. За этим скрывается загрузка вредоносных программ, таких как инфостилеры — вредоносные программы, похищающие пароли, куки и другую личную информацию. Злоумышленники используют эти методы для быстрого и незаметного получения доступа к данным жертвы.
Технологии маскировки и сложные цепочки заражения
Значительно усложнить обнаружение вредоносных файлов помогают техники скрытия данных, такие как steganography — скрытие информации внутри изображений. В рамках кампании ClickFix злоумышленники используют специально искажённые пиксели внутри обычных изображений PNG, чтобы спрятать внутри них вредоносный код. Эти данные извлекаются и исполняются прямо в памяти системы, не создавая заметных файлов на диске, что позволяет избегать обнаружения антивирусами.
После загрузки вредоносный код внедряется в доверенные процессы Windows, например, explorer.exe, и активирует инструменты типа LummaC2 и Rhadamanthys, предназначенные для кражи учетных данных. Такой подход делает атаку практически невидимой для стандартных антивирусных решений.
Как защититься от подобных атак?
- Всегда проверяйте источник обновлений Windows. Настоящие обновления приходят только через системные уведомления или официальный раздел настроек.
- Если сайт предлагает выполнить команду через Run, PowerShell или терминал — это серьёзный сигнал опасности. Реальные обновления не требуют ручного ввода команд из браузера.
- Используйте антивирусные программы с функциями поведенческого анализа и защиты в реальном времени, чтобы обнаруживать скрытые угрозы.
- Устанавливайте только проверенные приложения и следите за обновлениями через официальные источники.
Дополнительные меры безопасности
Рекомендуется использовать менеджеры паролей, которые помогают создавать и хранить уникальные пароли для каждого сайта. Они также автоматически заполняют формы только на надежных страницах, что помогает распознавать фальшивые логины.
Проверяйте, не было ли ваш email скомпрометировано в утечках данных — современные менеджеры паролей часто включают функцию сканирования на наличие утечек. При обнаружении утечки сразу меняйте пароли и активируйте двухфакторную аутентификацию.
Используйте услуги по удалению личных данных из интернета. Они помогают снизить риск злоумышленников получить доступ к вашей информации через базы данных и сайты продажи данных. Хотя полностью избавиться от следов сложно, такие меры значительно усложняют задачу киберпреступникам.
Обращайте внимание на детали: как отличить фальшивую страницу обновления
Обратите внимание на адрес сайта — он должен совпадать с официальным. Если доменное имя вызывает сомнения или содержит лишние символы, лучше закрыть страницу. Также фальшивые обновления зачастую работают в полноэкранном режиме, скрывая браузерные элементы, чтобы создать иллюзию доверия.
Главное правило — никогда не запускайте команды или обновления с непроверенных ресурсов. Настоящие обновления Windows никогда не требуют ручного ввода команд через браузер. В случае сомнений лучше перейти на официальный сайт Windows и проверить текущий статус системы.
Понимание этих простых правил поможет вам защитить свои данные и избежать попадания под влияние киберпреступников, использующих всё более изощренные методы обмана.