新惡意軟件偽造 Windows 升級界面，從 PNG 圖片中讀取指令竊密

文章來源：Qooah.com

近期，網絡安全研究公司 Huntress 曝光一種更新版的 ClickFix 惡意軟件，該軟件的偽裝手法是目前最巧妙、最為險惡的信息竊取形式之一。

該惡意軟件主要模仿熱門網站的虛假成人網站內容，通常是以廣告或年齡驗證提示的形式彈出。如果用戶點擊便會出現一個全屏的 Windows 更新畫面，且進度條為95%。

如果用戶根據界面按下「Windows鍵 + R」打開運行窗口，並貼上安裝一段預先複製好的惡意代碼後，就會授予惡意軟件管理員權限。

用戶完成操作之後，惡意軟件便會利用系統預裝的 mshta 工具。為繞開安全軟件的檢測，系統會先運行一段垃圾 PowerShell 代碼，隨後才執行解密。

最隱蔽的操作是，惡意軟件通過解密一個看似無害的 PNG 圖片檔，從圖片像素數據中提取真正的 Shell 指令，便可注入到目標平台進行運行。

惡意軟件通過部署 Rhada-manthys 或 LummaC2 等資料竊取程式，竊取用戶保存在裝置本地的用戶名、密碼、加密貨幣錢包等敏感資料，並將發送至境外伺服器。

有的惡意軟件在代碼中使用混淆技術，插入一些不相干的內容，導致安全專家分析和檢測的難度提升。

Huntress 表示，該類惡意軟件從十月初開始在互聯網上流傳，用戶需要仔細核對域名 URL，避免點擊可疑廣告，特別是不要運行來源不明的命令。