Хитрый вирус маскируется под обновление Windows для кражи данных

Efemische · 01.12.2025, 19:00 #1 #1

Эксперты по кибербезопасности обнаружили новый и изощренный способ распространения вредоносного программного обеспечения, известного как кампания ClickFix. Злоумышленники используют поддельный экран обновления Windows, чтобы обманом заставить пользователей самостоятельно установить программы для кражи информации, такие как LummaC2 и Rhadamanthys.

Как это работает?

Пользователь посещает скомпрометированный или вредоносный сайт.
На экране внезапно появляется полноэкранная страница, в точности имитирующая синий экран "Идет работа над обновлениями" Windows. Этот экран выглядит максимально реалистично, иногда даже с анимацией процесса установки.
В конце этого процесса или во время него пользователю предлагается следовать инструкции, якобы для завершения критического обновления безопасности. Инструкция обычно требует от жертвы:
- Нажать Win+R (чтобы открыть окно "Выполнить").
- Вставить команду, которая уже была автоматически скопирована в буфер обмена.
- Запустить эту команду.
Если пользователь выполняет эти действия, запускается многоступенчатая цепочка заражения:
- Сначала выполняется команда, которая загружает скрипт (через mshta.exe).
- Затем этот скрипт запускает обфусцированный код PowerShell.
- В конечном итоге загружается исполняемый файл-загрузчик (loader), который извлекает и запускает основной вредоносный инфостилер.
Исследователи обнаружили, что в некоторых случаях атакующие используют стеганографию, чтобы спрятать части вредоносного кода внутри пикселей обычных изображений, что делает обнаружение еще более сложным.

Как защититься?

Не доверяйте внезапным экранам: Настоящие обновления Windows никогда не просят пользователя самостоятельно вводить команды в окне "Выполнить" (Win+R). Обновления устанавливаются автоматически или через меню "Параметры".
Ограничьте использование буфера обмена: Не копируйте и не вставляйте команды из непроверенных источников.

DamneD_FeveR_ · 01.12.2025, 19:36 #2 #2

Сообщение от Efemische:

В конце этого процесса или во время него пользователю предлагается следовать инструкции, якобы для завершения критического обновления безопасности.

Пострадавших стоит признавать недееспособными.

Sliz · 01.12.2025, 23:37 #3 #3

Сообщение от Efemische:

Не доверяйте внезапным экранам:

Ага. У нас на работе отключили обновления, так эта падла только и делает что выпрыгивает на экран, затеняя его и позволяя нажать только кнопку "Узнать больше", которая открывает центр обновлений.
Особенно это радует, когда нужно что-то быстро сделать (бригаде вызов кинуть на какое-нибудь авто или падение с высоты)...

cLiKeT · 02.12.2025, 02:02 #4 #4

@Efemische, Ты решмл вопрос с подвисаниями в Chrome? Если нет то есть решенние.

Создай файлик с .reg расширением и ****ани туда данный такст:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Dwm]
"OverlayMinFPS"=dword:00000000

Там вроде как проблема в Desktop Window Manager и его взаимодействие с Multiplane Overlay.

Efemische · 02.12.2025, 03:48 #5 #5

Сообщение от cLiKeT:

Ты решмл вопрос с подвисаниями в Chrome?

нет, но последние дня 2-3 не было

Altwazar · 02.12.2025, 07:14 #6 #6

Сообщение от cLiKeT:

Там вроде как проблема в Desktop Window Manager и его взаимодействие с Multiplane Overlay.

Жесть, там всё еще колдунства с DWM и MPO продолжаются? Вроде с 24H2 аж проблемы тянутся.

Efemische · 02.12.2025, 07:31 #7 #7

Сообщение от Altwazar:

Жесть, там всё еще колдунства с DWM и MPO продолжаются?

это ж мелкософт, камон

Altwazar · 02.12.2025, 07:38 #8 #8

Сообщение от Efemische:

это ж мелкософт, камон

Я немного удивлён проблемам и как они по долгу не решаются. В dx11 играх у людей беда с dsc на мониторах из-за фулскрина и альтабов, в dx12 не понять как аналог fast sync-а получить (без special k). Можно уже за пару лет порядок хоть немного навести.

Лапочка · 02.12.2025, 08:01 #9 #9

Сообщение от Efemische:

синий экран "Идет работа над обновлениями" Windows.

Как защититься?

Всегда знала, что это засада ).

Добавлено через 1 минуту

Пусть и ни разу внезапно!! у меня оно и не появлялсо, один фиг явная засада.

Dzirti · 02.12.2025, 08:11 **#10** **#10**

Сообщение от Altwazar:

Я немного удивлён проблемам и как они по долгу не решаются. В dx11 играх у людей беда с dsc на мониторах из-за фулскрина и альтабов, в dx12 не понять как аналог fast sync-а получить (без special k). Можно уже за пару лет порядок хоть немного навести.

Видимо без самого Билла - Нет.

Efemische · 02.12.2025, 08:35 **#11** **#11**

Сообщение от Altwazar:

Можно уже за пару лет порядок хоть немного навести.

можно, но, очевидно, нахрен не нужно

cLiKeT · 02.12.2025, 12:16 **#12** **#12**

Сообщение от Altwazar:

Жесть, там всё еще колдунства с DWM и MPO продолжаются? Вроде с 24H2 аж проблемы тянутся.

ну что ты хотел от маленкого стартапа на 10 тысяч голов?

Добавлено через 1 минуту

Сообщение от Efemische:

нет, но последние дня 2-3 не было

Попробуй данный метод. Мне помог моментально. По карйней мере после регистрации нового ключа в реестре все фризы пропали. И за вечер ни одного не было.

Efemische · 02.12.2025, 12:16 **#13** **#13**

Сообщение от cLiKeT:

Попробуй данный метод.

сделал, выжидаю. Спецом сидел листал ленту Х и шортсы в двух окнах разом. Пока вроде ок

cLiKeT · 02.12.2025, 12:17 **#14** **#14**

Сообщение от Efemische:

сделал, выжидаю

Надеемся и у тебя сработает.

Efemische · 02.12.2025, 12:18 **#15** **#15**

Сообщение от cLiKeT:

Надеемся и у тебя сработает.

хочется верить. Можно будет исключить хотя бы это из проблем дров нивидии

cLiKeT · 02.12.2025, 12:23 **#16** **#16**

Сообщение от Efemische:

хочется верить. Можно будет исключить хотя бы это из проблем дров нивидии

Меня вчера эта проблема прям достала, И за того что в chrome были открыты две вкладки на рабочем столе (в одной ютубчик в другое шарился по newegg), у меня тупо зависали обе влкадки. А отвисали секунд через 20-40. У меня еще очень часто зависал WoW когда Я переключался на chrome или с chrome Обратно на WoW.

Я уже в край задрался с этого и полез на reddit, откопал это решение, и установил ключ в реест.
Вроде помогло и больше за весь вечер не подвисало. Мониторим.

Efemische · 02.12.2025, 12:27 **#17** **#17**

Сообщение от cLiKeT:

А отвисали секунд через 20-40.

не, тут не отвисали окна — они наглухо висли и так сидели хоть 10, хоть 20 минут. Открытие дискорда — единственный способ развиснуть

cLiKeT · 02.12.2025, 12:29 **#18** **#18**

Сообщение от Efemische:

не, тут не отвисали окна — они наглухо висли и так сидели хоть 10, хоть 20 минут.

Так у меня отвисали и за того что я альтабался и жмякал пкм по браузеру. Короче хуйня собачая, надеюсь fix окончательно исправит этот баг

Efemische · 04.12.2025, 06:30 **#19** **#19**

Сообщение от cLiKeT:

Так у меня отвисали и за того что я альтабался и жмякал пкм по браузеру. Короче хуйня собачая, надеюсь fix окончательно исправит этот баг

по итогу стало ещё хуже, короч, теперь браузер может висануть даже без воспроизведения чего-либо в одном из окон

cLiKeT · 04.12.2025, 11:34 **#20** **#20**

Сообщение от Efemische:

по итогу стало ещё хуже, короч, теперь браузер может висануть даже без воспроизведения чего-либо в одном из окон

к меня все норм, зависания пропали.

Добавлено через 17 секунд

Пробываал отлючать апаратную визуализацию в хроме?

Efemische · 04.12.2025, 11:39 **#21** **#21**

Сообщение от cLiKeT:

Пробываал отлючать апаратную визуализацию в хроме?

да чего уже только не пробовал

02.12.2025, 03:48 #5 #5
Efemische Всего лайков: 5,627	Re: Хитрый вирус маскируется под обновление Windows для кражи данных Сообщение от cLiKeT: Ты решмл вопрос с подвисаниями в Chrome? нет, но последние дня 2-3 не было I... Am... Atomic! Последний раз редактировалось Efemische; 02.12.2025 в 06:25.

02.12.2025, 07:31 #7 #7
Efemische Всего лайков: 5,627	Re: Хитрый вирус маскируется под обновление Windows для кражи данных Сообщение от Altwazar: Жесть, там всё еще колдунства с DWM и MPO продолжаются? это ж мелкософт, камон I... Am... Atomic!

02.12.2025, 12:16 #13 #13
Efemische Всего лайков: 5,627	Re: Хитрый вирус маскируется под обновление Windows для кражи данных Сообщение от cLiKeT: Попробуй данный метод. сделал, выжидаю. Спецом сидел листал ленту Х и шортсы в двух окнах разом. Пока вроде ок I... Am... Atomic!

02.12.2025, 12:18 #15 #15
Efemische Всего лайков: 5,627	Re: Хитрый вирус маскируется под обновление Windows для кражи данных Сообщение от cLiKeT: Надеемся и у тебя сработает. хочется верить. Можно будет исключить хотя бы это из проблем дров нивидии I... Am... Atomic!

04.12.2025, 11:39 #21 #21
Efemische Всего лайков: 5,627	Re: Хитрый вирус маскируется под обновление Windows для кражи данных Сообщение от cLiKeT: Пробываал отлючать апаратную визуализацию в хроме? да чего уже только не пробовал I... Am... Atomic!