小心“假更新”投毒！黑客将恶意代码藏进 PNG，伪装 Win11 更新黑电脑

　　系统之家 11 月 25 日最新消息，Win11 用户需高度警惕一款新型恶意攻击，名为“ClickFix”的社会工程学攻击出现了新变种，攻击者将恶意代码通过隐写术嵌入 PNG 图像的像素数据中，再伪装成足以乱真的全屏 Windows 更新动画页面，诱骗用户执行恶意代码。

　　系统之家援引博文介绍，该页面会指示用户按下一系列特定按键，声称这是完成关键安全更新所必需的步骤。然而，这个操作实际上会触发预先通过 JavaScript 复制到用户剪贴板中的恶意命令，从而在系统中植入恶意软件。

　　安全服务商 Huntress 的报告指出，这些新变种攻击主要用于投放 LummaC2 和 Rhadamanthys 等信息窃取软件。与以往直接附加恶意文件的方式不同，新攻击采用了隐写术（Steganography）。

　　攻击者将恶意代码直接编码到 PNG 图像的像素数据中，通过特定的颜色通道来重建和解密隐藏在内存中的有效载荷。这种方法让恶意软件更难被发现，极大地增强了攻击的隐蔽性。

　　整个攻击过程相当复杂，涉及多个阶段。首先，攻击者利用 Windows 系统自带的 mshta.exe 程序执行恶意 JavaScript 代码。

　　随后，通过 PowerShell 代码和一个名为“Stego Loader”的 .NET 程序集，从加密的 PNG 文件中重建最终的恶意软件。

　　为了躲避安全软件的分析，攻击者还使用了一种名为“ctrampoline”的动态规避技术，即在程序入口点调用上万个空函数，干扰逆向工程分析。

　　研究人员早在 10 月就发现了利用 Windows 更新界面作为诱饵的 Rhadamanthys 恶意软件变种。值得庆幸的是，11 月 13 日代号为“Operation Endgame”的执法行动成功摧毁了其部分基础设施。Huntress 的报告证实，这次行动让托管虚假 Windows 更新页面的域名已无法成功投放恶意载荷。

　　相关阅读

　　《Win11 CVE-2025-50165 漏洞已修复，速装对应补丁》

　　《微软 Win10 / Win11 曝高危漏洞可致权限提升！请立即更新》

　　《微软为即将到来的 AI 驱动时代做好准备！五大安全升级保驾护航》

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网。