Kampaň proti malwaru JackFix
Nedávné vyšetřování poukazuje na rostoucí vlnu útoků využívajících sociální inženýrství ve stylu ClickFixu. Tyto schémata se spoléhají na přesvědčování obětí, aby samy provedly škodlivé příkazy, často prostřednictvím zinscenovaných technických pokynů. Nejnovější operace tuto taktiku dále kombinuje s falešnými webovými stránkami pro dospělé a padělanými oznámeními o aktualizacích systému Windows, čímž vytváří vysoce manipulativní infekční řetězec, který bezpečnostní týmy nazvaly JackFix.
Obsah
Phishingové portály s tématikou pro dospělé jako vstupní bod
Kampaň začíná podvodnými weby pro dospělé, které jsou vytvořeny tak, aby připomínaly známé platformy, a jsou zobrazovány prostřednictvím malwaru a dalších technik přesměrování. Když se uživatelé na tyto stránky dostanou, rychle se setkají s naléhavou zprávou o aktualizaci, která je koncipována jako kritické bezpečnostní upozornění systému Windows. Téma pro dospělé zesiluje psychologický tlak, díky čemuž se náhlá výzva k aktualizaci jeví jako věrohodná a odrazuje uživatele od zpochybňování její pravosti.
Některé varianty těchto stránek obsahují poznámky vývojářů v ruštině, což naznačuje možné spojení s rusky mluvící skupinou hrozby.
Klamavá upozornění na aktualizace na celou obrazovku
Jakmile návštěvník provede interakci s falešnou stránkou, komponenty HTML a JavaScript okamžitě spustí celoobrazovkovou imitaci dialogového okna aktualizace systému Windows. Rozhraní používá modré pozadí a jednoduchý bílý text, což odráží styl systémových zpráv s vysokou naléhavostí. JavaScript se pokouší vynutit režim celé obrazovky, zatímco další kód se snaží blokovat běžné klávesy Escape, včetně Escape, F11, F5 a F12, aby uživatele uvěznil v falešné aktualizaci.
Navzdory tomu chyby v implementaci umožňují fungování kláves Escape a F11, což uživatelům dává možnou cestu ven.
Jádro podvodu spočívá v pokynech zobrazených oběti: otevřete dialogové okno Spustit ve Windows, vložte předkopírovaný příkaz a spusťte jej. Dodržením těchto kroků se spustí škodlivý obsah a zahájí se kompromitace.
Dominance ClickFixu a vývoj útoku
Aktivita ve stylu ClickFix prudce vzrostla a nyní představuje téměř polovinu zdokumentovaných událostí prvního přístupu. Tradičně se takové hrozby vydávají za kontroly CAPTCHA nebo výzvy k řešení problémů. Kampaň JackFix představuje posun směrem k imerzivnějším a systémovějším návnadám a ukazuje, jak útočníci neustále zdokonalují psychologickou manipulaci, aby dosáhli spuštění kódu s asistencí uživatele.
Vrstvené zmatkování a doručování dat spouštěné příkazy
První příkaz spuštěný na počítači oběti využívá mshta.exe ke spuštění datové části MSHTA obsahující JavaScript. Tento skript volá příkaz PowerShellu, který načítá další fázi PowerShellu ze vzdáleného serveru. Aby se přidružené domény vyhnuly kontrole, při ručním přístupu přesměrovávají na neškodné weby, jako je Google nebo Steam. Škodlivou reakci spouštějí pouze požadavky provedené prostřednictvím specifických příkazů PowerShellu, jako je irm nebo iwr, což představuje významnou analytickou bariéru.
Stažený PowerShellový skript obsahuje silné obfuskace: nepotřebný kód, skrytou logiku a kontroly, které mají zabránit reverznímu inženýrství. Také se pokouší o eskalaci oprávnění a přidává antivirové výjimky vázané na koncové body C2 a pracovní adresáře.
Vynucená eskalace oprávnění a nasazení datové části
Zvýšení oprávnění se provádí pomocí rutiny Start-Process s parametrem -Verb RunAs, která opakovaně vyzve oběť, dokud jí nejsou udělena administrátorská práva. Po zvýšení oprávnění skript nasadí další komponenty, často lehké trojské koně pro vzdálený přístup, které jsou navrženy tak, aby kontaktovaly server C2 a načetly další malware.
Rozmanitý arzenál zlodějů a nabíječů
Bylo pozorováno, že malware doručuje až osm různých datových úložišť, včetně:
- Zloděj Rhadamanthys, Zloděj Vidar 2.0, Zloděj RedLine, Amadey
- Další načítače a RATy používané k přípravě následných hrozeb
Pouze jedno úspěšné spuštění stačí k ohrožení citlivých dat. Oběti čelí ztrátě přihlašovacích údajů, kryptoměn a dalších osobních údajů. Některé zavaděče také útočníkům umožňují rozšířit útok o silnější malware, což výrazně zvyšuje dopad.
