Οι πρωταγωνιστές των απειλών έχουν εξελίξει τις στρατηγικές επίθεσης συνδυάζοντας το παραπλανητικό δέλεαρ κοινωνικής μηχανικής ClickFix με προηγμένες τεχνικές steganography για την απόκρυψη κακόβουλων ωφέλιμων φορτίων μέσα σε αρχεία εικόνας PNG.
Αυτή η εξελιγμένη προσέγγιση, που ανακαλύφθηκε από τους αναλυτές Huntress, αντιπροσωπεύει μια σημαντική αλλαγή στον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου παρέχουν κακόβουλο λογισμικό που κλέβει πληροφορίες σε ανυποψίαστους χρήστες.
Το ClickFix λειτουργεί ως αλυσίδα επίθεσης πολλαπλών σταδίων που εξαπατά τους χρήστες να εκτελούν με μη αυτόματο τρόπο εντολές μέσω της γραμμής εντολών Εκτέλεση των Windows.
.webp.jpeg "Χάκερ που χρησιμοποιούν την τεχνική ClickFix για απόκρυψη εικόνων μέσα στα αρχεία εικόνας")
Η εκστρατεία ξεκινά όταν τα θύματα αντιμετωπίζουν πειστικά θέλγητρα, συμπεριλαμβανομένων πλαστών οθονών επαλήθευσης ρομπότ και ρεαλιστικών ειδοποιήσεων του Windows Update.
Αυτές οι σελίδες καθοδηγούν τους χρήστες να πατήσουν Win+R για να ανοίξουν το πλαίσιο Εκτέλεση και μετά να επικολλήσουν μια εντολή που έχει αντιγραφεί αυτόματα στο πρόχειρό τους.
Μόλις εκτελεστεί, αυτή η αρχική εντολή ξεκινά μια επικίνδυνη αλυσίδα συμβάντων που τελικά παραδίδει κακόβουλο λογισμικό στο σύστημα προορισμού.
.webp.png "Χάκερ που χρησιμοποιούν την τεχνική ClickFix για απόκρυψη εικόνων μέσα στα αρχεία εικόνας")
Κυνηγοί αναλυτές και ερευνητές αναγνωρισθείς το κακόβουλο λογισμικό εμφανίστηκε τον Οκτώβριο του 2025, με τις καμπάνιες να εξελίσσονται σε δύο διαφορετικές παραλλαγές.
Τα αρχικά δολώματα «Human Verification» επισκιάστηκαν από νεότερες, πιο πειστικές ψεύτικες οθόνες του Windows Update που μιμούνται τις νόμιμες ενημερώσεις της Microsoft σε λειτουργία πλήρους οθόνης, με ρεαλιστικές κινήσεις «Working on updates» προτού ζητηθεί η εκτέλεση της εντολής ClickFix.
Στεγανογραφική Απόκρυψη ωφέλιμου φορτίου
Η πιο αξιοσημείωτη πτυχή αυτής της καμπάνιας είναι ο τρόπος με τον οποίο οι φορείς απειλών αποκρύπτουν τα τελικά στάδια κακόβουλου λογισμικού τους. Αντί να προσαρτούν κακόβουλα δεδομένα σε εικόνες, οι εισβολείς χρησιμοποιούν έναν προσαρμοσμένο στεγανογραφικό αλγόριθμο για την κωδικοποίηση του shellcode απευθείας μέσα στα δεδομένα pixel των εικόνων PNG.
Αυτή η τεχνική βασίζεται σε συγκεκριμένα κανάλια χρώματος —ιδιαίτερα στο κόκκινο κανάλι— για την ανακατασκευή και την αποκρυπτογράφηση του ωφέλιμου φορτίου εξ ολοκλήρου στη μνήμη.
.webp.jpeg "Χάκερ που χρησιμοποιούν την τεχνική ClickFix για απόκρυψη εικόνων μέσα στα αρχεία εικόνας")
Ο μηχανισμός μόλυνσης ξεκινά με μια εντολή mshta.exe που περιέχει μια διεύθυνση IP με εξαγωνική κωδικοποίηση στη δεύτερη οκτάδα του.
Αυτό ενεργοποιεί ένα πρόγραμμα φόρτωσης PowerShell που αποκρυπτογραφεί δυναμικά και φορτώνει ανακλαστικά μια διάταξη .NET. Αυτό το συγκρότημα λειτουργεί ως steganographic loader, εξάγοντας κώδικα κελύφους κρυμμένο μέσα σε μια κρυπτογραφημένη εικόνα PNG που είναι ενσωματωμένη ως πόρος δήλωσης.
Η διαδικασία εξαγωγής χρησιμοποιεί τα ακατέργαστα δεδομένα pixel του bitmap, υπολογίζοντας τις μετατοπίσεις για κάθε γραμμή και στήλη και, στη συνέχεια, πραγματοποιεί XOR την τιμή του κόκκινου καναλιού με 114 για να ανακτήσει τα κρυπτογραφημένα byte του shellcode.
Ο εξαγόμενος κώδικας κελύφους συσκευάζεται χρησιμοποιώντας το Donut, ένα πρόγραμμα συσκευασίας κωδίκων φλοιού που επιτρέπει την εκτέλεση συγκρότησης .NET στη μνήμη.
.webp.jpeg "Χάκερ που χρησιμοποιούν την τεχνική ClickFix για απόκρυψη εικόνων μέσα στα αρχεία εικόνας")
Οι ερευνητές του Huntress τεκμηρίωσαν ότι τα τελικά ωφέλιμα φορτία που παραδίδονται μέσω αυτού του μηχανισμού περιλαμβάνουν κακόβουλο λογισμικό κλοπής πληροφοριών όπως το LummaC2 και το Rhadamanthys, σχεδιασμένο για τη συλλογή ευαίσθητων διαπιστευτηρίων χρήστη και οικονομικών πληροφοριών.
Αυτή η εκστρατεία δείχνει πώς οι φορείς απειλών συνεχίζουν να καινοτομούν τις ικανότητές τους για αποφυγή εντοπισμού. Κρύβοντας ωφέλιμα φορτία μέσα σε δεδομένα εικονοστοιχείων εικόνας αντί για παραδοσιακές δομές αρχείων, οι εισβολείς περιπλέκουν την ανάλυση και αποφεύγουν τα συστήματα ανίχνευσης που βασίζονται σε υπογραφές.
Ωστόσο, η επίθεση εξακολουθεί να βασίζεται στη θεμελιώδη αδυναμία της κοινωνικής μηχανικής – πείθοντας τους χρήστες να εκτελούν χειροκίνητα εντολές.
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην εκπαίδευση ευαισθητοποίησης των χρηστών και να εξετάσουν το ενδεχόμενο απενεργοποίησης του πλαισίου εκτέλεσης των Windows μέσω τροποποιήσεων μητρώου ή Πολιτικής ομάδας για να αποτρέψουν την επιτυχία αυτού του φορέα επίθεσης.
Related Posts
Το Tsundere Botnet κάνει κατάχρηση δημοφιλών πακέτων Node.js και κρυπτονομισμάτων για επίθεση σε χρήστες Windows, Linux και macOS
Το MastaStealer οπλίζει τα αρχεία LNK των Windows, εκτελεί την εντολή PowerShell και το Evades Defender
Το Makop Ransomware εκμεταλλεύεται συστήματα RDP με AV Killer και άλλα Exploits
