Des mesures de sécurité sont mises en garde contre les nouvelles mises à jour ClickFix qui s’appliquent aux pages de mise à jour Windows les plus courantes.
Les agents de sécurité Huntress sont bien placés pour une nouvelle campagne ClickFix gérée par un mitarbeiter dans une entreprise. La recherche a pour but de supprimer vos logiciels malveillants dans les pixels d’une image inversée, d’une page de mise à jour Windows antérieure. Dort werden die Benutzer aufgefordert, auf Ausführen zu klicken, um einen bösartigen Befehl einzufügen and auszuführen.
Dieser Befehl liefert Infostealer LummaC2 et Rhadamanthys aus. Huntress nous a annoncé qu’elle serait incarcérée le 13 novembre, alors que l’ermittlungserfolg de Rhadamanthys est arrivé au monde. Demnach hosteten more aktive Domains jusqu’au 19 novembre la nouvelle Windows Update – Site, la mit der Rhadamanthys-Kampagne in Verbindung steht. « Toutes les fausses pages publiées auf dieselbe codierte URL-Struktur, die zuvor mit dem Einsatz von Rhadamanthys in Verbindung stand », dit Forscher. La charge utile ne sera pas disponible plus tard.
ClickFix-Angriffe n’est pas neuf
Les experts ont besoin d’être avertis par ClickFix-Angriffen (manchmal aussi comme « Pastejacking » bezeichnet). Vous commencez souvent avec un phishing-Köder, l’option sur un verrouillage réaliste et réaliste de la page de destination, qui est disponible, sur une page Windows Update ou sur un site Web, dans une liste d’enregistrement. Le noyau des Angriffs est le meilleur choix pour les réponses pratiques, les clics sur les commandes de démarrage et les copies, les mises à jour et les mises à jour des commandes directement dans la boîte de dialogue Windows « Authentification », le terminal Windows ou Windows PowerShell sont exécutés. Dies führt zum herunterladen von Skripten, die Malware starten.
Dies sei aufwendiger als einfache Techniken zum Anhängen von Dateien, die darauf ausgelegt sind, signaturbasierte Erkennung zu umgehen.
« La tactique avec le motif Windows Update est très efficace, même si elle a été créée, a été la solution: une page complète de Windows Update avec des animations réalistes », a-t-il déclaré. « Le code de ce code est entièrement commenté en langue russe et n’est pas très clair, il est relativement léger d’autres groupes ou de copie peut-être. »
Les forscher du NCC Group ont déjà eu une expérience plus approfondie grâce à un ClickFix-Angriff vérifié, qui a eu lieu en mai 2025. Il s’agit d’un programme d’optimisation Drive-by et d’une utilisation efficace de CAPTCHA-Popups – avec l’utilisateur, le Lumma C2 Stealer à installer.
Conseils pour la sécurité
Le premier guide pour l’installation de Clickfix-Angriffen est le meilleur de l’expert Huntress, Pham Darin, qui a développé les logiciels malveillants à des fins de liaison. « La méthode efficace pour l’administration de ClickFix est la désactivation des champs d’authentification Windows », donc Huntress, « implique les opérations dans le registre Windows ou le règlement GPO (objet de stratégie de groupe), pour l’interaction avec le registre Windows ou le blocage. «
Zudem wird eine Standardmaßnahme zur Bekämpfung all Social-Engineering-Angriffe empfohlen: eine efficace Schulung der Mitarbeiter zum Thema Sicherheitsbewusstsein. « Vous êtes sûr que la réponse à la méthode ClickFix est connue », il est dans leur Bericht. « Betonen Sie, the légitime CAPTCHA- or Windows-Update-Prozesse niemals das Einfügen and Ausführen von Befehlen erfordern. »
Außerdem sollten CISOsSie den RunMRU-Registrierungsschlüssel (der eine Kopie der zuletzt ausgeführten Befehle aus dem Ausführungsfenster speichert) überprüfen, um festzustellen, ob Benutzer verdächtige Befehle über den Ausführungsdialog ausgeführt haben.
Pham utilise également la surveillance des points de terminaison pour des projets détaillés – insérés dans un clic sur l’erreur, dans le explorer.exe mshta.exe ou PowerShell avec un début d’arguments de gestion peu fiables.
« Sicherheitsbewusstseinstrainings sind zwar wichtig, sollten aber nicht die einzige Verteidigungslinie sein », dit Pham. (jm)
