به‌روزرسانی جعلی ویندوز؛ ترفند جدید هکرها برای نصب بدافزار

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، مجرمان سایبری در سال‌های اخیر مهارت زیادی در شبیه‌سازی نرم‌افزارهای مورد اعتماد کاربران پیدا کرده‌اند.

پس از صفحات فیشینگ بانکی، هشدارهای جعلی مرورگر و پیام‌های «تأیید انسان بودن»، اکنون کمپین کلیک فیکس (ClickFix) با ترفندی جدید بازگشته است: نمایش یک صفحه تمام‌صفحه که دقیقاً شبیه به به‌روزرسانی ویندوز به نظر می‌رسد.

در این روش، کاربر به جای پیام‌های قبلی، با صفحه‌ای مواجه می‌شود که نوار پیشرفت، پیام‌های آشنا و هشدار «به‌روزرسانی امنیتی حیاتی» را نشان می‌دهد.

از کاربر خواسته می‌شود پنجره Run را باز کرده و دستوری را که در کلیپ‌بورد قرار دارد اجرا کند.

این دستور در واقع بدافزاری را دانلود می‌کند که اغلب از نوع «سرقت‌کننده اطلاعات» است و می‌تواند گذرواژه‌ها، کوکی‌ها و داده‌های حساس را استخراج کند.

پس از اجرای دستور، زنجیره آلودگی آغاز می‌شود.

ابزار mshta.exe اسکریپتی را از سرور مهاجم دریافت می‌کند که با تکنیک‌های پیچیده، از جمله کدهای پاورشل (PowerShell) مبهم و رمزگذاری‌شده، بدافزار اصلی را مستقیماً در حافظه سیستم بارگذاری می‌کند.

یکی از ویژگی‌های خطرناک این حمله، پنهان‌سازی مرحله بعدی بدافزار درون یک فایل تصویری PNG است.

مهاجمان با استفاده از استگانوگرافی، کد مخرب را در پیکسل‌های تصویر مخفی می‌کنند؛ به‌گونه‌ای که هیچ فایل مشکوکی روی دیسک ذخیره نمی‌شود و بسیاری از ابزارهای امنیتی متوجه آن نمی‌شوند.

در نهایت، کد مخرب به فرایندهای معتبر ویندوز مانند explorer.exe تزریق شده و بدافزارهایی نظیر لوماسی2 (LummaC2) یا نسخه‌های جدید رادامانتیس (Rhadamanthys) فعال می‌شوند.

این بدافزارها بی‌سروصدا اطلاعات کاربر را جمع‌آوری و برای مهاجم ارسال می‌کنند.

کارشناسان تأکید می‌کنند که موفقیت کلیک فیکس به همکاری ناآگاهانه کاربر وابسته است.

به‌روزرسانی‌های واقعی ویندوز هرگز از طریق مرورگر یا با اجرای دستورات دستی انجام نمی‌شوند و هوشیاری کاربر همچنان مهم‌ترین خط دفاعی است.