Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Кампания за борба със зловреден софтуер JackFix

Кампания за борба със зловреден софтуер JackFix

До Mezo през Зловреден софтуерг
Превод на:

Скорошно разследване разкрива нарастваща вълна от атаки, използващи социално инженерство в стил ClickFix. Тези схеми разчитат на убеждаване на жертвите сами да изпълняват вредни команди, често чрез поетапни технически подкани. Последната операция развива тази тактика допълнително, като я съчетава с фалшиви уебсайтове за възрастни и фалшиви известия за актуализации на Windows, образувайки силно манипулативна верига от инфекции, която екипите по сигурност са нарекли JackFix.

Фишинг портали с тематика за възрастни като входна точка

Кампанията започва с измамнически сайтове за възрастни, създадени да наподобяват добре познати платформи, доставяни чрез злонамерена реклама и други техники за пренасочване. Когато потребителите попаднат на тези страници, те бързо се сблъскват със спешно съобщение за актуализация, представено като критично известие за сигурността на Windows. Темата за възрастни усилва психологическия натиск, правейки внезапното подканване за актуализация да изглежда правдоподобно и обезкуражавайки потребителите да се съмняват в неговата автентичност.

Някои варианти на тези сайтове съдържат забележки от разработчиците на руски език, което предполага възможна връзка с рускоезична група за престъпления.

Подвеждащи известия за актуализации на цял екран

След като посетителят взаимодейства с фалшивата страница, HTML и JavaScript компонентите незабавно стартират имитация на диалогов прозорец за актуализация на Windows на цял екран. Интерфейсът използва син фон и опростен бял текст, наподобяващ стила на системните съобщения с висока спешност. JavaScript се опитва да наложи режим на цял екран, докато допълнителен код се опитва да блокира често срещани клавиши за изход (escape), включително Escape, F11, F5 и F12, за да хванат потребителя в капан във фалшивата актуализация.
Въпреки това, грешките при внедряването позволяват на Escape и F11 да продължат да функционират, давайки на потребителите възможен изход.

Същността на измамата се крие в инструкциите, показвани на жертвата: отворете диалоговия прозорец „Изпълнение“ на Windows, поставете предварително копирана команда и я изпълнете. Следването на тези стъпки стартира злонамерения полезен товар и инициира компрометирането.

Доминирането на ClickFix и еволюцията на атаката

Активността в стил ClickFix се е увеличила рязко, като сега представлява почти половината от документираните събития за първоначален достъп. Традиционно подобни заплахи се представят за CAPTCHA проверки или подкани за отстраняване на неизправности. Кампанията JackFix бележи преминаване към по-завладяващи и системни примамки, показвайки как нападателите непрекъснато усъвършенстват психологическата манипулация, за да постигнат изпълнение на код, подпомагано от потребителя.

Многослойно обфускация и доставка на полезен товар, задействана от команди

Първата команда, изпълнена на машината на жертвата, използва mshta.exe, за да изпълни MSHTA полезен товар, съдържащ JavaScript. Този скрипт извиква PowerShell команда, която извлича друг PowerShell етап от отдалечен сървър. За да избегнат проверка, свързаните домейни пренасочват към безобидни сайтове като Google или Steam, когато се осъществява ръчен достъп. Само заявки, направени чрез специфични PowerShell команди, като например irm или iwr, задействат злонамерен отговор, което добавя значителна бариера за анализ.

Изтегленият PowerShell скрипт включва тежко обфускация: нежелан код, скрита логика и проверки, предназначени да възпрепятстват обратното инженерство. Той също така прави опити за ескалация на привилегиите и добавя антивирусни изключения, свързани с крайни точки на C2 и директории за подготовка.

Принудително повишаване на привилегиите и внедряване на полезен товар

Повишаването на привилегиите се осъществява с помощта на командлета Start‑Process с параметъра -Verb RunAs, като жертвата получава многократно подканване, докато не ѝ бъдат предоставени администраторски права. След като бъдат повишени, скриптът разполага с допълнителни компоненти, често леки троянски коне за отдалечен достъп, предназначени да се свързват с C2 сървър и да извличат допълнителен зловреден софтуер.

Разнообразен арсенал от крадци и товарачи

Зловредният софтуер е наблюдаван при доставяне на до осем различни полезни натоварвания, включително:

  • Крадецът на Радамантис, Крадецът на Видар 2.0, Крадецът на Червената линия, Амадей
  • Други зареждащи програми и RAT-ове, използвани за инсцениране на последващи заплахи

Само едно успешно изпълнение е достатъчно, за да застраши чувствителни данни. Жертвите са изправени пред загуба на идентификационни данни, криптовалути и друга лична информация. Някои програми за зареждане позволяват на атакуващите да разширят проникването с по-мощен зловреден софтуер, което значително увеличава въздействието.

Тенденция

UPS - Изисква се действие за измама с вашата пратка

Фишинг, Спам
Киберпрестъпниците рутинно маскират фишинг кампаниите си като актуализации за доставката, а измамата „UPS – Необходимо действие за вашата пратка“ е отличен пример. Въпреки че изглежда, че идва от доверен куриер, тя не е свързана с никакви легитимни компании, организации или доставчици на услуги. Имейлите имитират истински известия за пратки, за да подведат получателите да разкрият чувствителна...

Изисква се оторизация за доставка на съобщение (измама)

Фишинг, Спам
Киберпрестъпниците продължават да разчитат на правдоподобни имейл примамки, за да подведат получателите да предоставят чувствителна информация. Един от последните примери е измамата „Изисква се разрешение за доставка на съобщения“ – операция, предназначена да имитира рутинни известия във входящата поща и да манипулира потребителите да предадат своите идентификационни данни за акаунта. Въпреки...

Най-гледан

Зареждане...