Εκστρατεία κατά του κακόβουλου λογισμικού JackFix
Μια πρόσφατη έρευνα αναδεικνύει ένα αυξανόμενο κύμα επιθέσεων που εκμεταλλεύονται την κοινωνική μηχανική τύπου ClickFix. Αυτά τα σχέδια βασίζονται στο να πείσουν τα θύματα να εκτελούν τα ίδια επιβλαβείς εντολές, συχνά μέσω στημένων τεχνικών προτροπών. Η τελευταία επιχείρηση προχωρά αυτή την τακτική περαιτέρω, συνδυάζοντάς την με ψεύτικους ιστότοπους ενηλίκων και πλαστές ειδοποιήσεις ενημέρωσης των Windows, σχηματίζοντας μια εξαιρετικά χειριστική αλυσίδα μολύνσεων που οι ομάδες ασφαλείας έχουν ονομάσει JackFix.
Πίνακας περιεχομένων
Πύλες ηλεκτρονικού “ψαρέματος” με θέμα τους ενήλικες ως σημείο εισόδου
Η καμπάνια ξεκινά με δόλιες ιστοσελίδες ενηλίκων που έχουν σχεδιαστεί για να μοιάζουν με γνωστές πλατφόρμες, οι οποίες παρέχονται μέσω κακόβουλης διαφήμισης και άλλων τεχνικών ανακατεύθυνσης. Όταν οι χρήστες καταλήγουν σε αυτές τις σελίδες, αντιμετωπίζουν γρήγορα ένα επείγον μήνυμα ενημέρωσης που παρουσιάζεται ως κρίσιμη ειδοποίηση ασφαλείας των Windows. Το θέμα ενηλίκων ενισχύει την ψυχολογική πίεση, κάνοντας την ξαφνική προτροπή ενημέρωσης να φαίνεται εύλογη και αποθαρρύνοντας τους χρήστες από το να αμφισβητήσουν την αυθεντικότητά της.
Ορισμένες παραλλαγές αυτών των ιστότοπων περιέχουν σχόλια προγραμματιστών στα ρωσικά, γεγονός που υποδηλώνει πιθανή σύνδεση με μια ρωσόφωνη ομάδα απειλών.
Παραπλανητικές ειδοποιήσεις ενημέρωσης πλήρους οθόνης
Μόλις ένας επισκέπτης αλληλεπιδράσει με την παραπλανητική σελίδα, τα στοιχεία HTML και JavaScript ξεκινούν αμέσως μια απομίμηση πλήρους οθόνης ενός παραθύρου διαλόγου ενημέρωσης των Windows. Η διεπαφή χρησιμοποιεί μπλε φόντο και απλό λευκό κείμενο, αντανακλώντας το στυλ των μηνυμάτων συστήματος υψηλής επείγουσας ανάγκης. Η JavaScript επιχειρεί να επιβάλει τη λειτουργία πλήρους οθόνης, ενώ πρόσθετος κώδικας προσπαθεί να μπλοκάρει τα κοινά πλήκτρα διαφυγής, συμπεριλαμβανομένων των Escape, F11, F5 και F12, για να παγιδεύσει τον χρήστη στην ψεύτικη ενημέρωση.
Παρά ταύτα, τα σφάλματα υλοποίησης επιτρέπουν στα Escape και F11 να εξακολουθούν να λειτουργούν, δίνοντας στους χρήστες μια πιθανή διέξοδο.
Η ουσία της απάτης έγκειται στις οδηγίες που εμφανίζονται στο θύμα: ανοίξτε το παράθυρο διαλόγου Εκτέλεση των Windows, επικολλήστε μια προ-αντιγραμμένη εντολή και εκτελέστε την. Ακολουθώντας αυτά τα βήματα, εκκινείται το κακόβουλο φορτίο και ξεκινά η παραβίαση.
Η κυριαρχία του ClickFix και η εξέλιξη της επίθεσης
Η δραστηριότητα τύπου ClickFix έχει αυξηθεί απότομα, αντιπροσωπεύοντας πλέον σχεδόν το ήμισυ των καταγεγραμμένων αρχικών συμβάντων πρόσβασης. Παραδοσιακά, τέτοιες απειλές μιμούνται ελέγχους CAPTCHA ή προτροπές αντιμετώπισης προβλημάτων. Η καμπάνια JackFix σηματοδοτεί μια στροφή προς πιο καθηλωτικά και συστημικά δολώματα, δείχνοντας πώς οι εισβολείς βελτιώνουν συνεχώς την ψυχολογική χειραγώγηση για να επιτύχουν εκτέλεση κώδικα με τη βοήθεια του χρήστη.
Πολυεπίπεδη συσκότιση και παράδοση φορτίου με ενεργοποίηση εντολών
Η πρώτη εντολή που εκτελείται στον υπολογιστή του θύματος αξιοποιεί το mshta.exe για να εκτελέσει ένα ωφέλιμο φορτίο MSHTA που περιέχει JavaScript. Αυτό το σενάριο καλεί μια εντολή PowerShell που ανακτά ένα άλλο στάδιο PowerShell από έναν απομακρυσμένο διακομιστή. Για να αποφύγουν τον έλεγχο, οι σχετικοί τομείς ανακατευθύνουν σε ακίνδυνους ιστότοπους όπως η Google ή το Steam όταν γίνεται χειροκίνητη πρόσβαση. Μόνο τα αιτήματα που γίνονται μέσω συγκεκριμένων εντολών PowerShell, όπως irm ή iwr, ενεργοποιούν την κακόβουλη απόκριση, προσθέτοντας ένα σημαντικό εμπόδιο ανάλυσης.
Το ληφθέν σενάριο PowerShell περιλαμβάνει έντονη συσκότιση: ανεπιθύμητο κώδικα, κρυφή λογική και ελέγχους που αποσκοπούν στην παρεμπόδιση της αντίστροφης μηχανικής. Επίσης, επιχειρεί κλιμάκωση δικαιωμάτων και προσθέτει εξαιρέσεις προστασίας από ιούς που συνδέονται με τελικά σημεία C2 και καταλόγους σταδιοποίησης.
Αναγκαστική κλιμάκωση δικαιωμάτων και ανάπτυξη ωφέλιμου φορτίου
Η αύξηση των δικαιωμάτων επιδιώκεται χρησιμοποιώντας το cmdlet Start‑Process με την παράμετρο -Verb RunAs, προτρέποντας επανειλημμένα το θύμα μέχρι να παραχωρηθούν δικαιώματα διαχειριστή. Μόλις γίνει η αναβάθμιση, το σενάριο αναπτύσσει πρόσθετα στοιχεία, συχνά ελαφριά trojan απομακρυσμένης πρόσβασης που έχουν σχεδιαστεί για να επικοινωνούν με έναν διακομιστή C2 και να ανακτούν περαιτέρω κακόβουλο λογισμικό.
Ένα Ποικίλο Οπλοστάσιο από Κλέφτες και Γεμιστές
Το κακόβουλο λογισμικό έχει παρατηρηθεί ότι παρέχει έως και οκτώ διακριτά ωφέλιμα φορτία, όπως:
- Κλέφτης Rhadamanthys, Κλέφτης Vidar 2.0, Κλέφτης RedLine, Amadey
- Άλλοι φορτωτές και RAT που χρησιμοποιούνται για την οργάνωση επακόλουθων απειλών
Μόνο μία επιτυχημένη εκτέλεση είναι αρκετή για να θέσει σε κίνδυνο ευαίσθητα δεδομένα. Τα θύματα αντιμετωπίζουν την απώλεια διαπιστευτηρίων, κρυπτονομισμάτων και άλλων προσωπικών πληροφοριών. Ορισμένοι loaders επιτρέπουν επίσης στους εισβολείς να επεκτείνουν την εισβολή με πιο ισχυρό κακόβουλο λογισμικό, κλιμακώνοντας σημαντικά τις επιπτώσεις.
