Новая волна атак ClickFix использует фальшивые экраны обновлений Windows, чтобы заставить жертв скачать инфостилер. Пользователям показывается полноэкранная синяя страница обновления Windows и предлагается установить «критическое обновление безопасности» через команду в диалоговом окне «Выполнить» (Win+R).
Механизм атаки и вовлечённые регионы
При вводе команды, запускается цепь действий: mshta.exe получает URL с hex-кодировкой, который запускает PowerShell, расшифровывающий и загружающий сборку .NET. Это ведет к запуску стеганографического загрузчика, извлекающего шеловой код из пиксельных данных PNG, который, в конечном итоге, загружает Rhadamanthys для кражи данных. По данным компании Huntress, с 2025-09-29 по 2025-10-30 было расследовано 76 инцидентов, которые затронули организации в США, EMEA и APJ. Один из связанных IP-адресов — 141.98.80[.]175.
Как защититься от атак через поддельные обновления
Меры безопасности и расследование
После операции Endgame по закрытию доменов 2025-11-13 некоторые из них оставались активными по 2025-11-19, несмотря на возможные изменения хостинга. Для защиты рекомендуется блокировка диалогового окна «Выполнить», обучение сотрудников, что Windows Update не требует выполнения команд, и использование средств выявления угроз на конечных устройствах для мониторингаunexpected действий mshta.exe или powershell.exe.
