Pemberitahuan Kemas Kini Windows Palsu: Kempen Malware Clickfix menggunakan steganografi PNG untuk mengelakkan pengesanan

Published by All Things Windows on

penjenayah siber telah cepat berpindah ke teknik pengelakan baru berikutan tindakan keras Microsoft baru-baru ini terhadap lampiran e-mel yang berniat jahat. Hanya beberapa minggu selepas Outlook mula menyekat fail vektor grafik vektor berskala (SVG) yang berskala, penyerang kini menyembunyikan malware di dalam data piksel grafik rangkaian mudah alih (PNG), kaedah yang dikenali sebagai steganografi. Dengan membenamkan kod yang disulitkan dalam saluran warna tertentu imej yang tidak berbahaya, pelakon ancaman dapat mengelakkan alat pengesanan standard yang mengimbas ancaman berasaskan skrip. Domain aktif yang menganjurkan gewang berasaskan PNG yang baru terus mengedarkan infostealer rhadamanthys, mencadangkan daya tahan kumpulan terhadap usaha takedown.

Dari skrip ke piksel: Peralihan steganografi

penyerang meninggalkan atau melengkapkan skrip SVG berasaskan XML yang memihak kepada steganografi PNG berasaskan piksel. Peralihan taktikal ini berkorelasi secara langsung dengan keputusan Oktober Microsoft untuk menyekat imej SVG sebaris dalam Outlook untuk memerangi phishing. Menggambarkan mekanik sistem penyampaian muatan baru, Ben Folland dan Anna Pham, penyelidik di Huntress,

Setelah diekstrak, muatan itu disahsulit dalam ingatan, melangkaui mekanisme pengesanan berasaskan cakera. Laluan pelaksanaan memori semacam itu amat berkesan terhadap sistem pengesanan dan tindak balas endpoint (EDR), yang terutamanya memantau fail menulis ke cakera. Menonjolkan cabaran forensik yang ditimbulkan oleh teknik ini, para penyelidik Huntress mencatatkan bahawa”penemuan yang ketara semasa analisis adalah penggunaan steganografi kempen untuk menyembunyikan peringkat malware akhir dalam imej. Trust

Memanfaatkan teknik yang digelar”ClickFix,”serangan meniru ralat Windows yang sah atau skrin kemas kini. Mangsa dibentangkan dengan antara muka”Windows Update”palsu yang kelihatannya gerai atau gagal. Untuk”membetulkan”isu ini, pengguna diarahkan untuk membuka dialog Windows Run (Win+R) dan menyisipkan arahan.

Menghilangkan eksploitasi teknikal sepenuhnya, teknik ini memanfaatkan kelemahan berteknologi rendah dalam tingkah laku pengguna. Menegaskan halangan yang rendah untuk masuk untuk mengeksploitasi ini, penyelidik Huntress menyerlahkan kesederhanaan pendekatan ini. Taktik sedemikian mengelakkan kawalan keselamatan penyemak imbas seperti SmartScreen, yang biasanya menandakan muat turun berniat jahat tetapi bukan pelaksanaan perintah manual.

Untuk mengurangkan vektor khusus ini, pentadbir boleh melumpuhkan kotak run melalui

reg Tambah”HKCU \ Software \ Microsoft \ Windows \ Currentversion \ Policies \ Explorer”/V Norun/T Reg_dword/D 1/F

Ketergantungan pada Input Pengguna Manual Loader

Memulakan jangkitan, perintah `mshta.exe` dilaksanakan melalui kotak larian. Perintah ini mengambil fail HTA jauh, yang kemudian melaksanakan skrip PowerShell. Apabila pelaksanaan, skrip menyahsulit dan memuatkan perhimpunan.NET terus ke dalam ingatan. Analisis Teknikal Huntress memperincikan proses pemuatan seterusnya:

“Perhimpunan NET ke-3. disusun ke dalam perhimpunan yang lain. NET, yang dimuatkan secara reflektif pada runtime.”sasaran=”_ blank”> rhadamanthys atau lummac2).

Analisis mendedahkan penggunaan kod”trampolin”dengan beribu-ribu fungsi kosong untuk menggagalkan usaha kejuruteraan terbalik. Pemuatan reflektif memastikan malware beroperasi hampir sepenuhnya dalam ingatan, meninggalkan jejak forensik yang minimum pada cakera. Target=”_ Blank”> Operasi Endgame Takedowns Pada pertengahan November, kempen itu tetap aktif. Penyelidik Huntress mengesahkan bahawa pelbagai domain yang menganjurkan Windows Update Lure masih beroperasi.

Walaupun takedown yang diselaraskan, pelakon ancaman telah mengekalkan kedudukan yang berfungsi. Mengesahkan kelangsungan hidup infrastruktur, Ben Folland dan Anna Pham memerhatikan bahawa”sehingga 19 November, pelbagai domain aktif… terus menjadi tuan rumah halaman kemas kini Windows yang dikaitkan dengan kempen Rhadamanthys.”Target=”_ Blank”> Data ESET terkini menunjukkan lonjakan 500% dalam serangan ClickFix pada Q4 2025, menunjukkan taktik semakin popular di kalangan penjenayah siber. Desentralisasi membolehkan infrastruktur botnet untuk cuaca berpusat pada percubaan takedown. Pivoting cepat, dari SVGS ke PNGS, dan dari satu pelayan C2 ke yang lain, menunjukkan ketangkasan operasi yang tinggi.

Categories: IT Info

Related Posts

IT Info

Perkhidmatan Penulisan Esei Teratas: Panduan Komprehensif

Perkhidmatan penulisan esei yang boleh dipercayai boleh menjadi penyelamat bagi pelajar yang menghadapi tarikh akhir yang ketat atau bergelut dengan tugasan yang kompleks. Dalam panduan ini, kami mengkaji semula perkhidmatan penulisan esei teratas,

IT Info

Cara meletakkan inventori dalam minecraft

Di Minecraft, peraturan permainan KeepInventory adalah ciri yang berharga yang membolehkan pemain mengekalkan barang mereka selepas kematian. Secara lalai, pemain kehilangan semua barang mereka ketika mereka binasa, b

IT Info

Apakah perbezaan antara TV pintar dan TV Roku?

TV pintar dan TV Roku kedua-duanya direka untuk menjadikan televisyen anda sebagai pusat utama untuk streaming, aplikasi, dan ciri pintar. Walaupun kedua-dua jenis TV membolehkan anda mengakses Conten kegemaran anda