千萬要當心了！新版惡意軟件偽裝成Windows更新：竊取用戶數據

11月30日消息，千萬竊近日，當心網絡安全研究公司Huntress曝光了一種更新版的新版ClickFix惡意軟件，其偽裝手法堪稱迄今為止最巧妙、惡意最險惡的軟件信息竊取形式之一。

這款惡意軟件主要出現在模仿熱門網站的偽裝虛假成人網站上，通常以廣告或年齡驗證提示的更新形式出現，用戶點擊后會看到一個全屏的用戶Windows更新畫面，并顯示進度條已完成95%。數據

隨后，千萬竊它指示用戶按下“Windows鍵 + R”打開運行窗口，當心粘貼一段已預先復制好的新版惡意代碼，并授予管理員權限。惡意

一旦命令被激活，軟件它會利用系統預裝的偽裝mshta工具，為了躲避安全軟件的檢測，程序還會運行一段垃圾PowerShell代碼，隨后執行解密。

最狡猾之處在于，它能解密一個看似無害的PNG圖片文件，并從圖片的像素數據中提取真正的Shell指令，將其注入到目標平臺上已運行的進程中。

最終，該惡意軟件會部署Rhada-manthys或LummaC2等信息竊取程序，專門刮取用戶保存在本地的用戶名、密碼、加密貨幣錢包及銀行卡等敏感信息，并發送至境外服務器。

犯罪分子甚至在代碼中使用了混淆技術，例如嵌入一段不相關的聯合國會議，極大地增加了安全專家分析和檢測的難度。

Huntress指出，這種變體自十月初以來一直在互聯網上流傳建議用戶務必仔細核對域名URL，避免點擊可疑廣告，尤其不要在設備上運行任何由不可信來源直接提供的命令。