Deși Windows Defender, antivirusul de la Microsoft instalat automat cu Windows, este remarcabil de bun la detectarea fișierelor dubioase în zilele noastre, nu poate face prea multe în privința ocolirii metodelor sale de securitate de către utilizatori, dacă sunt convinși să o facă.
Exact asta a fost surprinsă o nouă variantă a malware-ului cunoscut, ClickFix: păcălește utilizatorii făcându-i să creadă că o actualizare Windows inocentă le cere să lipească o comandă rău intenționată în fereastra Executare (prin intermediul Bleeping Computer ). Cercetătorii de la furnizorul de servicii de securitate Huntress au detaliat noua metodă într-o postare pe blog , și este o adevărată performanță de inginerie socială.
Practic, se deschide o fereastră de browser care conține o versiune pe ecran complet a ceea ce pare a fi un ecran Windows Update, cu fundalul albastru familiar (deși cu un font suspect). După ce actualizarea este „completată”, ultimul pas solicită utilizatorului să țină apăsată tasta Windows și R, deschizând o instanță Executare.
Victimelor nefericite li se spune apoi să apese Ctrl+V, ceea ce lipește un cod malițios în promptul Run, copiat automat în clipboard-ul mașinii. Apăsarea tastei Enter activează o comandă PowerShell, care la rândul ei decriptează și încarcă o secvență de ansambluri .NET reflective utilizate pentru injectarea de procese.
După o secvență complicată de tactici de evitare, un fișier .png care conține cod shell este reconstruit, instalând în cele din urmă o variantă infostealer. Este un proces remarcabil de complex, început de utilizatorul care declanșează singur secvența principală de evenimente.
Prin urmare, asigurați-vă că aveți Windows actualizat, că orice actualizare se face direct din Windows, nu de pe site-uri sau prin programe dubioase. Nu uita de antivirușii pe care îi avem la dispoziție.
