ClickFix обнаружил вредоносные веб-страницы, запускающие команды mshta для загрузки вирусов. Эти страницы представляют угрозу пользователям из-за использования сложных методов маскировки типа стеганографии.
Как избежать атак через веб-страницы
Как работают этапы атаки
Злоумышленники сначала используют mshta.exe, чтобы загрузить скрытый скрипт. URL-адреса для этого используют шестнадцатеричный код и изменённые пути. Затем скрипт выполняет сложный код PowerShell. Этот код загружает .NET-ассемблер, который извлекает shellcode, скрытый в PNG-изображениях. Используется специальная стеганография, чтобы спрятать код в цветовых каналах, что затрудняет обнаружение.
- Этап 1: Загрузка скрипта через mshta
- Этап 2: Выполнение кода PowerShell
- Этап 3: Загрузка ассеблера .NET
- Этап 4: Извлечение скрытого shellcode
- Этап 5: Инъекция кода в доверенные процессы
Защита и рекомендации
Чтобы не стать жертвой таких угроз, рекомендуется уделять внимание безопасности. Не доверяйте срочным запросам выполнять команды на страницах. Проверяйте инструкции через официальные каналы поддержки и обязательно используйте обновлённое антивирусное ПО с защитой веб-страниц.
Помните, что привычка перепроверять инструкции и вводить команды вручную может предотвратить атаки.
