Valószínűleg sosem fog kimenni a divatból a jó öreg társadalom-mérnökösködés, azaz a social engineering: kiberbiztonsági kutatók most egy olyan ClickFix-támadás továbbfejlesztett változatát azonosították, amely már teljes képernyős, élethű Windows Update-animációval csapja be a felhasználókat. A módszer lényege, hogy a támadók nem automatizált exploitokkal próbálkoznak, hanem ráveszik az embert, hogy saját maga futtassa a rosszindulatú kódot - így megkerülve számos védelmi mechanizmust.
A trükk ijesztően hatékony. A gyanútlan áldozat egy böngészőben felugró, hibátlanul megszerkesztett Windows Update-képernyőt vagy Captcha-ellenőrzést lát. A háttérben eközben egy JavaScript már fel is másolja a kártékony parancsot a vágólapra. A hamis oldal arra utasítja a felhasználót, hogy nyissa meg a Windows Futtatás ablakot, majd "a hiba javításához" illessze be a szöveget és nyomja meg az entert. Amikor ez megtörténik, a gép letölt egy ártalmatlannak tűnő PNG-képet - amely valójában a malware hordozója.
Mint a Bleeping Computer megjegyzi, a kampány különlegessége, hogy a támadók steganográfiát alkalmaznak: a kártékony kód magukban a képpontok színcsatornáiban rejtőzik. Egy egyszerű vizsgálat csak egy normális PNG-t látna, pedig a belsejében ott lapul az igazi veszély. A folyamatot egy .NET alapú Stego Loader viszi tovább, amely kiolvassa a pixelekbe rejtett adatot, memóriában visszafejti, majd futtatja is. A loader még egy 10 000 üres függvényhívásból álló "zajréteget" is beiktat, hogy összezavarja az elemző eszközöket, mielőtt a valódi káros kód életbe lépne.
Az egész annyira ügyes, kimondottan a felhasználóra építő módszer, hogy egy kevésbé rutinos internetezőt, például egy idősebb családtagot könnyedén félrevezethet. Ha valaki egy rossz linkre kattint, és teljes képernyőn megjelenik egy állítólagos Windows Update, nem biztos, hogy felismeri a csapdát. A megelőzés sem egyszerű, mert a Futtatás ablak letiltása segíthet, de a tudatos használat és a kritikus szemlélet elengedhetetlen.
