Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya de programari maliciós JackFix

Campanya de programari maliciós JackFix

El Mezo el Programari maliciós
Traduir a:

Una investigació recent destaca una onada creixent d'atacs que exploten l'enginyeria social a l'estil ClickFix. Aquests esquemes es basen en convèncer les víctimes perquè executin ordres nocives elles mateixes, sovint mitjançant indicacions tècniques escenificades. L'última operació porta aquesta tàctica més enllà combinant-la amb llocs web falsos per a adults i avisos d'actualització de Windows falsificats, formant una cadena d'infecció altament manipuladora que els equips de seguretat han batejat com a JackFix.

Portals de phishing amb temàtica per a adults com a punt d’entrada

La campanya comença amb llocs web fraudulents per a adults dissenyats per semblar-se a plataformes conegudes, distribuïts mitjançant publicitat maliciosa i altres tècniques de redirecció. Quan els usuaris arriben a aquestes pàgines, s'enfronten ràpidament a un missatge d'actualització urgent emmarcat com una notificació crítica de seguretat de Windows. El tema per a adults amplifica la pressió psicològica, fent que la sol·licitud d'actualització sobtada sembli plausible i desanima els usuaris de qüestionar-ne l'autenticitat.

Algunes variants d'aquests llocs web contenen comentaris dels desenvolupadors en rus, cosa que suggereix una possible connexió amb un grup d'amenaces de parla russa.

Alertes d’actualització enganyoses a pantalla completa

Un cop un visitant interactua amb la pàgina fraudulenta, els components HTML i JavaScript inicien instantàniament una imitació a pantalla completa d'un quadre de diàleg d'actualització de Windows. La interfície utilitza un fons blau i un text blanc senzill, que recorda l'estil dels missatges del sistema d'alta urgència. JavaScript intenta forçar el mode de pantalla completa, mentre que el codi addicional intenta bloquejar les tecles d'escapada comunes, com ara Escapada, F11, F5 i F12, per atrapar l'usuari dins de l'actualització falsa.
Malgrat això, els errors d'implementació permeten que les tecles Escape i F11 continuïn funcionant, donant als usuaris una possible sortida.

El quid de l'engany rau en les instruccions que es mostren a la víctima: obriu el quadre de diàleg Executar de Windows, enganxeu una ordre precopiada i executeu-la. Seguint aquests passos, s'inicia la càrrega útil maliciosa i el compromís.

El domini de ClickFix i l’evolució de l’atac

L'activitat d'estil ClickFix ha augmentat considerablement, i ara representa gairebé la meitat dels esdeveniments d'accés inicial documentats. Tradicionalment, aquestes amenaces suplanten comprovacions CAPTCHA o indicacions de resolució de problemes. La campanya JackFix marca un canvi cap a esquers més immersius i similars al sistema, mostrant com els atacants refinen contínuament la manipulació psicològica per aconseguir l'execució de codi assistida per l'usuari.

Ofuscació per capes i lliurament de càrrega útil activat per ordres

La primera ordre executada a la màquina de la víctima aprofita mshta.exe per executar una càrrega útil MSHTA que conté JavaScript. Aquest script crida una ordre de PowerShell que recupera una altra etapa de PowerShell des d'un servidor remot. Per evitar l'escrutini, els dominis associats redirigeixen a llocs inofensius com Google o Steam quan s'hi accedeix manualment. Només les sol·licituds realitzades mitjançant ordres específiques de PowerShell, com ara irm o iwr, desencadenen la resposta maliciosa, afegint una barrera d'anàlisi significativa.

L'script de PowerShell descarregat inclou una ofuscació important: codi brossa, lògica oculta i comprovacions destinades a dificultar l'enginyeria inversa. També intenta l'escalada de privilegis i afegeix exclusions antivirus vinculades a punts finals C2 i directoris de proves.

Escalada forçada de privilegis i desplegament de càrrega útil

L'elevació de privilegis es duu a terme mitjançant el cmdlet Start-Process amb el paràmetre -Verb RunAs, preguntant repetidament a la víctima fins que s'atorguen els drets d'administrador. Un cop elevats, l'script implementa components addicionals, sovint troians d'accés remot lleugers dissenyats per contactar amb un servidor C2 i obtenir més programari maliciós.

Un arsenal divers de lladres i carregadors

S'ha observat que el programari maliciós pot enviar fins a vuit càrregues útils diferents, incloent-hi:

  • Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
  • Altres carregadors i RAT utilitzats per organitzar amenaces posteriors

Només una execució correcta és suficient per posar en perill dades sensibles. Les víctimes s'enfronten a la pèrdua de credencials, criptomonedes i altra informació personal. Alguns carregadors també permeten als atacants ampliar la intrusió amb programari maliciós més potent, augmentant significativament l'impacte.

Tendència

UPS - Acció requerida per a l'estafa del vostre...

Phishing, Correu brossa
Els ciberdelinqüents solen disfressar les seves campanyes de phishing com a actualitzacions de lliurament, i l'estafa UPS – Action Required for Your Shipment n'és un bon exemple. Tot i que sembla provenir d'un servei de missatgeria de confiança, no està associada a cap empresa, organització o proveïdor de serveis legítim. Els correus electrònics imiten avisos d'enviament reals per enganyar els...

Estafa de requeriment d'autorització de lliurament...

Phishing, Correu brossa
Els ciberdelinqüents continuen utilitzant esquers creïbles per correu electrònic per enganyar els destinataris perquè facilitin informació confidencial. Un dels exemples més recents és l'estafa de "Message Delivery Authorization Required", una operació dissenyada per imitar les notificacions rutinàries de la safata d'entrada i manipular els usuaris perquè lliurin les credencials del seu compte....

Més vist

Carregant...