Хакерам больше не нужно взламывать — достаточно попросить: сочетание Win+R стало новым вектором угроз.

С конца сентября и до последних чисел октября специалисты изучили 76 инцидентов в США, EMEA и APJ. Во всех случаях жертву подталкивали самостоятельно инициировать вредоносную цепочку, запустив команду через окно Run (Win+R).

По данным Huntress, в оборот вошла новая волна ClickFix-кампаний, основанных на поддельных системных обновлениях Windows. Вместо привычной проверки «я не робот» пользователям показывают полноэкранные синие страницы, копирующие интерфейс обновления ОС. Microsoft отмечает, что именно ClickFix стал наиболее часто встречающимся методом первоначального проникновения, и к нему переходят как опытные, так и мало подготовленные группы злоумышленников.

Атака начинается при переходе на заражённый сайт, который переводит браузер в полноэкранный режим и отображает фальшивое «обновление». Пользователь получает инструкции выполнить «важное исправление» вручную: открыть Win+R, вставить предложенную строку и запустить её. Тем самым жертва сама активирует весь вредоносный механизм.

Команда инициирует запуск mshta.exe по URL, где второй октет IP стабильно передаётся в шестнадцатеричном формате. Затем PowerShell загружает фрагмент .NET-кода, который расшифровывается и исполняется в памяти, передавая управление следующей стадии. На этом этапе запускается модуль на .NET, отвечающий за скрытую загрузку вредоносного ПО через стеганографию: полезная нагрузка, сформированная Donut-оболочкой, извлекается из пикселей PNG-файлов по разным каналам цвета. Такой метод помогает обойти классические сигнатурные средства защиты.

Huntress сообщает, что с 29 сентября по 30 октября 2025 года было зафиксировано 76 случаев в нескольких регионах мира; один из эпизодов содержал трафик на 141.98.80[.]175. Во всех анализируемых примерах использовались hex-кодированные URL, ведущие к загрузчику со стеганографией. В коде страниц-приманок обнаружились комментарии на русском языке, однако установить организаторов кампании не удалось.

Даже после проведённой 13 ноября операции Operation Endgame, направленной против инфраструктуры Rhadamanthys, мошеннические страницы продолжали работать как минимум до 19 ноября. Все найденные приманки по-прежнему ссылались на схему hex-адресов, ранее использовавшихся для распространения Rhadamanthys, хотя сам вредоносный файл уже не находился на этих доменах. Исследователи подчёркивают, что операторы подобных кампаний часто оперативно меняют инфраструктуру.

Обе версии ложных обновлений Windows в конечном итоге приводили к установке Rhadamanthys — трояна, собирающего учётные данные пользователей. Чтобы уменьшить вероятность заражения, специалисты советуют отключать возможность запуска окна Run, информировать сотрудников о механике ClickFix-сценариев и напоминать, что настоящие обновления никогда не требуют ручного ввода команд. Решения класса EDR способны выявлять подозрительные случаи, когда explorer.exe запускает mshta.exe, powershell.exe или иные процессы с нетипичными аргументами.