Wciskasz 4 klawisze i masz wirusa. Sprytny atak udaje Windowsa
Oszuści internetowi wzięli sobie na cel użytkowników Windowsa. Myślisz, że wykonujesz aktualizacje systemu, a tak naprawdę dajesz się okraść. To sprytna i niebezpieczna metoda.
Cyberprzestępcy wymyślili sposób na efektywniejsze instalowanie złośliwego oprogramowania na komputerach potencjalnych ofiar. Metoda ta omija większość antywirusów, skanów i powszechnie stosowanych zabezpieczeń.
Myślisz, że instalujesz aktualizację Windowsa, ale wpuszczasz wirusa na swój komputer
Badacze zajmujący się cyberbezpieczeństwem zauważyli, że oszuści internetowi od października 2025 r. zaczęli stosować nową odmianę ataku ClickFix. To metoda, która nakłania użytkownika do wykonania określonych czynności w komputerze za pomocą trzech prostych skrótów klawiszowych.
Jak działa w praktyce? W taki sposób, że potencjalnej ofierze wyświetla się realistycznie wyglądająca animacja usługi Windows Update. To jednak nie tak, że hakerzy faktycznie wywołują ekran aktualizacji systemu. Zamiast tego wykorzystują stronę internetową w przeglądarce, która jest uruchamiana w trybie pełnoekranowym. Dzięki czemu faktycznie wygląda jak ekran uaktualnienia, który widzimy po restarcie komputera.
Strona internetowa ukrywa też złośliwy kod wewnątrz niewidocznych obrazów, który jest kopiowany do schowka. Niezwykle ważnym elementem całej układanki jest też instrukcja z poleceniami, która pojawia się pod rzekomym wskaźnikiem statusu aktualizacji. Kroki mają rzekomo umożliwić ukończenie uaktualnienia, ale to pułapka.
Oszuści piszą o instalacji "krytycznej aktualizacji bezpieczeństwa" i nakłaniają użytkownika do uruchomienia wiersza poleceń i wklejenie polecenia. Jeśli to zrobimy, zainicjujemy uruchomienie i instalację złośliwego oprogramowania w systemie. To wbrew pozorom bardzo proste oszustwo, ale dlatego może być wyjątkowo skuteczne. Właściwie wymaga wykonania trzech skrótów: przycisk Windows + R, Ctrl + V oraz potwierdzenia polecenia enterem lub guzikiem OK.
Co się stanie, jeśli to zrobimy? Według badaczy z firmy Huntress aktywacja polecenia powoduje wykorzystanie pliku w systemie Windows w celu wykonania złośliwego kodu JavaScript. Następnie polecenie stara się wyciągnąć informacje z zaszyfrowanego obrazu zamieszczonego na stronie internetowej, który następnie inicjuje kolejne czynności pozwalające zainfekować komputer ofiary.
Metoda najczęściej instaluje złośliwe oprogramowanie polegające na wykradaniu informacji z komputera takich jak LummaC2 czy Rhadamanthys.
Podobne oszustwo stosuje się też w celu rzekomego uwierzytelniania
W tamtym roku poinformowaliśmy o podobnym oszustwie, w którym przestępcy wykorzystali bardzo podobną metodę. Wyświetlali na stronach internetowych polecenia, które miały umożliwić wykonanie autoryzacji Captcha. W rzeczywistości też służyły do zainfekowania komputera ofiary złośliwym oprogramowaniem.
Więcej podobnych artykułów znajdziesz na Spider's Web:
