11月30日消息，千萬(wàn)竊近日，當(dāng)心網(wǎng)絡(luò)安全研究公司Huntress曝光了一種更新版的新版ClickFix惡意軟件，其偽裝手法堪稱(chēng)迄今為止最巧妙、惡意最險(xiǎn)惡的軟件信息竊取形式之一。

這款?lèi)阂廛浖饕霈F(xiàn)在模仿熱門(mén)網(wǎng)站的偽裝虛假成人網(wǎng)站上，通常以廣告或年齡驗(yàn)證提示的更新形式出現(xiàn)，用戶(hù)點(diǎn)擊后會(huì)看到一個(gè)全屏的用戶(hù)Windows更新畫(huà)面，并顯示進(jìn)度條已完成95%。數(shù)據(jù)

隨后，千萬(wàn)竊它指示用戶(hù)按下“Windows鍵 + R”打開(kāi)運(yùn)行窗口，當(dāng)心粘貼一段已預(yù)先復(fù)制好的新版惡意代碼，并授予管理員權(quán)限。惡意

一旦命令被激活，軟件它會(huì)利用系統(tǒng)預(yù)裝的偽裝mshta工具，為了躲避安全軟件的檢測(cè)，程序還會(huì)運(yùn)行一段垃圾PowerShell代碼，隨后執(zhí)行解密。

最狡猾之處在于，它能解密一個(gè)看似無(wú)害的PNG圖片文件，并從圖片的像素?cái)?shù)據(jù)中提取真正的Shell指令，將其注入到目標(biāo)平臺(tái)上已運(yùn)行的進(jìn)程中。

最終，該惡意軟件會(huì)部署Rhada-manthys或LummaC2等信息竊取程序，專(zhuān)門(mén)刮取用戶(hù)保存在本地的用戶(hù)名、密碼、加密貨幣錢(qián)包及銀行卡等敏感信息，并發(fā)送至境外服務(wù)器。

犯罪分子甚至在代碼中使用了混淆技術(shù)，例如嵌入一段不相關(guān)的聯(lián)合國(guó)會(huì)議，極大地增加了安全專(zhuān)家分析和檢測(cè)的難度。

Huntress指出，這種變體自十月初以來(lái)一直在互聯(lián)網(wǎng)上流傳建議用戶(hù)務(wù)必仔細(xì)核對(duì)域名URL，避免點(diǎn)擊可疑廣告，尤其不要在設(shè)備上運(yùn)行任何由不可信來(lái)源直接提供的命令。