Хакеры больше не ломают, они просят. Окно Win+R стало идеальным инструментом для атаки

leer en español

Microsoft Huntress ClickFix Rhadamanthys стеганография Windows инфостилер
Хакеры больше не ломают, они просят. Окно Win+R стало идеальным инструментом для атаки
Microsoft Huntress ClickFix Rhadamanthys стеганография Windows инфостилер

Подделка обновлений Windows маскирует цепочку загрузки стеганографического загрузчика.

image

Поддельные обновления Windows вошли в новый цикл ClickFix-кампаний, о которых сообщили специалисты Huntress. Злоумышленники всё чаще подменяют проверку роботов на полноэкранные синие окна, имитирующие системное обновление. В первом абзаце Microsoft подчёркивает, что ClickFix стал самым распространённым способом первичного проникновения, и именно к этой схеме перешли многие группы с разным уровнем подготовки.

Атаки начинаются с посещения вредоносного сайта, переводящего браузер в полноэкранный режим и показывающего страницу, внешне совпадающую с интерфейсом обновления Windows. Жертву подталкивают выполнить критическое обновление вручную, следуя типичному ClickFix-сценарию: открыть окно запуска Win+R, вставить подготовленную строку и выполнить её. На этом этапе пользователь фактически запускает вредоносную цепочку сам.

Командная строка активирует mshta.exe с URL, в котором второй октет IP всегда закодирован шестнадцатерично. Дальше PowerShell загружает фрагмент .NET-кода, который после расшифровки подгружается прямо в память и передаёт управление следующему компоненту. Им становится модуль на .NET, отвечающий за скрытую доставку вредоносного ПО через стеганографию. Он извлекает зашифрованную оболочку Donut из пиксельных данных PNG-файлов, используя отдельные цветовые каналы для восстановления полезной нагрузки. Такой подход помогает уходить от сигнатурных механизмов защиты.

По данным Huntress, с 29 сентября по 30 октября 2025 года команда изучила 76 инцидентов, затронувших организации в США, странах EMEA и регионах APJ. Один из эпизодов включал трафик на 141.98.80[.]175. Во всех случаях цепочка использовала URL с шестнадцатеричным вторым октетом, ведущий к стеганографическому загрузчику. Исследователи обнаружили комментарии на русском языке в исходном коде страниц, имитирующих обновление, но авторство кампании установить не удалось.

Несмотря на проведённые 13 ноября операции Operation Endgame, направленные против инфраструктуры Rhadamanthys, сайты с поддельными обновлениями продолжали работать как минимум до 19 ноября. Все обнаруженные приманки ссылались на ту же структуру hex-кодированных адресов, ранее связанной с доставкой Rhadamanthys, хотя сам вредонос больше не размещался на этих ресурсах. Однако исследователи предупреждают, что инфраструктура может оперативно меняться.

Обе разновидности приманок под видом обновления Windows в итоге загружали на устройства Rhadamanthys, который похищает учётные данные пользователей. Чтобы снизить риск подобных атак, рекомендуется блокировать возможность вызова окна Run, информировать сотрудников о характере ClickFix-сценариев и напоминать, что ни одно законное обновление не требует вручную вставлять команды. Защитные решения уровня EDR помогут отслеживать ситуации, когда explorer.exe запускает mshta.exe, powershell.exe или другие исполняемые файлы с нетипичными аргументами.