Новий вірус ClickFix імітує оновлення Windows і краде паролі через команду “Виконати”
- Зловмисники поширюють нову версію вірусу ClickFix, яка маскується під повноекранне оновлення Windows, що “зависло”.
- Користувача змушують натиснути комбінацію Win + R і вставити шкідливу команду нібито для завершення інсталяції.
- Атака завантажує стилери Rhadamanthys або LummaC2, які крадуть паролі, банківські дані та доступ до криптогаманців.
- Головне правило безпеки: справжня система Windows ніколи не просить вводити команди в ручному режимі для оновлення.
Кіберексперти з Huntress зафіксували активність нової модифікації шкідливого ПЗ ClickFix. Цього разу шахраї б’ють по найвразливішому місцю користувачів — звичці довіряти системним повідомленням Windows. Атака настільки хитра, що не вимагає від жертви завантажувати підозрілі файли — достатньо просто скопіювати та вставити текст.
Механіка обману
Загроза найчастіше ховається на сумнівних вебсайтах (зокрема, з піратським контентом або “дорослим” відео). Один необережний клік на рекламу або фейкову перевірку віку — і ваш браузер переходить у повноекранний режим, імітуючи стандартний екран оновлення Windows.
На екрані з’являється повідомлення про те, що оновлення нібито “зависло” на 95%. Щоб виправити це, система пропонує “просте” рішення:
- Натиснути клавіші Windows + R (відкриває вікно “Виконати”).
- Натиснути Ctrl + V (вставити скопійовану команду).
- Натиснути Enter.
Саме в цей момент користувач власноруч запускає процес зараження свого комп’ютера.
Що відбувається “під капотом”
Команда, яку жертва вставляє у вікно, запускає mshta — вбудований інструмент Windows, який зловмисники використовують для завантаження шкідливого коду з віддаленого сервера.
Цікава технічна деталь: частина шкідливого коду захована безпосередньо в пікселях PNG-зображення (стеганографія). Вірус витягує цей код і через платформу .NET впроваджує його в інші запущені процеси системи.
Фінальним етапом є завантаження програм-стилерів, таких як Rhadamanthys або LummaC2. Ці інструменти “пилососять” усе цінне на комп’ютері:
- Збережені паролі в браузерах.
- Файли cookie (що дозволяє зайти у ваші акаунти без пароля).
- Дані для входу в онлайн-банкінг.
- Інформацію з криптогаманців.
Як захиститися
Ця атака є класичним прикладом соціальної інженерії: вона покладається не на вразливість Windows, а на довірливість людини.
Запам’ятайте головне правило: Справжні оновлення Windows відбуваються автоматично через “Центр оновлень”. Microsoft ніколи не попросить вас відкривати вікно “Виконати” і вставляти туди будь-які скрипти чи команди для лагодження системи. Якщо ви бачите таке прохання — це 100% шахрайство.
