Rabattilbud med flere licenser
Trusseldatabase Malware JackFix Malware-kampagne

JackFix Malware-kampagne

Med Mezo i Malware
Oversæt til:

En nylig undersøgelse fremhæver en voksende bølge af angreb, der udnytter social engineering i ClickFix-stil. Disse ordninger er afhængige af at overbevise ofrene om selv at udføre skadelige kommandoer, ofte gennem iscenesatte tekniske prompts. Den seneste operation tager denne taktik et skridt videre ved at parre den med falske websteder for voksne og forfalskede Windows-opdateringsmeddelelser, hvilket danner en yderst manipulerende infektionskæde, som sikkerhedsteams har døbt JackFix.

Phishingportaler med voksentema som indgangspunkt

Kampagnen begynder med falske voksensider, der er designet til at ligne velkendte platforme, leveret via malvertising og andre omdirigeringsteknikker. Når brugerne lander på disse sider, bliver de hurtigt konfronteret med en presserende opdateringsbesked indrammet som en kritisk Windows-sikkerhedsmeddelelse. Voksentemaet forstærker det psykologiske pres, hvilket får den pludselige opdateringsmeddelelse til at virke plausibel og afskrækker brugerne fra at sætte spørgsmålstegn ved dens ægthed.

Nogle varianter af disse websteder indeholder udviklerbemærkninger på russisk, hvilket antyder en mulig forbindelse til en russisktalende trusselsgruppe.

Vildledende fuldskærmsopdateringsadvarsler

Når en besøgende interagerer med den falske side, starter HTML- og JavaScript-komponenter øjeblikkeligt en fuldskærmsefterligning af en Windows-opdateringsdialog. Grænsefladen bruger en blå baggrund og simpel hvid tekst, der minder om stilen i systemmeddelelser med høj hastende karakter. JavaScript forsøger at gennemtvinge fuldskærmstilstand, mens yderligere kode forsøger at blokere almindelige escape-taster, herunder Escape, F11, F5 og F12, for at fange brugeren i den falske opdatering.
På trods af dette tillader implementeringsfejl stadig Escape og F11 at fungere, hvilket giver brugerne en mulig udvej.

Kernen i bedraget ligger i de instruktioner, der vises til offeret: åbn Windows Kør-dialogboksen, indsæt en forudkopieret kommando, og udfør den. Ved at følge disse trin startes den skadelige nyttelast, og kompromitteringen starter.

ClickFix-dominans og angrebets udvikling

Aktivitet i ClickFix-stil er steget kraftigt og repræsenterer nu næsten halvdelen af de dokumenterede indledende adgangshændelser. Traditionelt efterligner sådanne trusler CAPTCHA-tjek eller fejlfindingsprompter. JackFix-kampagnen markerer et skift mod mere immersive og systemlignende lokkemidler, der viser, hvordan angribere løbende forfiner psykologisk manipulation for at opnå brugerassisteret kodeudførelse.

Lagdelt obfuskation og kommandoudløst levering af nyttelast

Den første kommando, der udføres på offerets maskine, udnytter mshta.exe til at køre en MSHTA-nyttelast, der indeholder JavaScript. Dette script kalder en PowerShell-kommando, der henter et andet PowerShell-stadium fra en fjernserver. For at undgå granskning omdirigerer de tilknyttede domæner til harmløse websteder som Google eller Steam, når de tilgås manuelt. Kun anmodninger foretaget via specifikke PowerShell-kommandoer, såsom irm eller iwr, udløser det ondsindede svar, hvilket tilføjer en betydelig analysebarriere.

Det downloadede PowerShell-script indeholder omfattende tilsløring: junk-kode, skjult logik og kontroller, der har til formål at hindre reverse engineering. Det forsøger også privilegieeskalering og tilføjer antivirusudelukkelser knyttet til C2-slutpunkter og staging-mapper.

Tvungen privilegieeskalering og implementering af nyttelast

Privilegier forbedres ved hjælp af cmdlet'en Start-Process med parameteren -Verb RunAs, der gentagne gange spørger offeret, indtil der gives administratorrettigheder. Når scriptet er hævet, implementerer det yderligere komponenter, ofte lette fjernadgangstrojanere, der er designet til at kontakte en C2-server og hente yderligere malware.

Et mangfoldigt arsenal af tyve og ladere

Malwaren er blevet observeret med at levere op til otte forskellige nyttelaster, herunder:

  • Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
  • Andre loadere og RAT'er, der bruges til at iscenesætte opfølgende trusler

Kun én vellykket udførelse er nok til at bringe følsomme data i fare. Ofrene risikerer tab af legitimationsoplysninger, kryptobeholdninger og andre personlige oplysninger. Visse indlæsere gør det også muligt for angribere at udvide indtrængen med mere potent malware, hvilket eskalerer virkningen betydeligt.

Trending

Mest sete

Indlæser...