Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara JackFixi pahavara kampaania

JackFixi pahavara kampaania

Aastaks Mezo aastal Pahavara
Tõlgi:

Hiljutine uurimine toob esile kasvava rünnakulaine, mis kasutab ära ClickFixi-tüüpi sotsiaalset manipuleerimist. Need skeemid põhinevad ohvrite veenmisel ise kahjulikke käske täitma, sageli lavastatud tehniliste viipade abil. Viimane operatsioon viib selle taktika veelgi kaugemale, ühendades selle võltsitud täiskasvanutele mõeldud veebisaitide ja võltsitud Windowsi värskendusteadetega, moodustades äärmiselt manipuleeriva nakkusahela, mille turvameeskonnad on nimetanud JackFixiks.

Täiskasvanutele mõeldud andmepüügiportaalid sisenemispunktina

Kampaania algab petturlike täiskasvanutele mõeldud saitidega, mis on loodud meenutama tuntud platvorme ja mida edastatakse pahavara ja muude ümbersuunamistehnikate abil. Kui kasutajad nendele lehtedele satuvad, kuvatakse neile kiiresti kiireloomuline värskendusteade, mis on vormistatud kriitilise Windowsi turvateatisena. Täiskasvanutele mõeldud teema võimendab psühholoogilist survet, muutes ootamatu värskendusteate usutavaks ja heidutades kasutajaid selle autentsuses kahtlemast.

Mõned nende saitide variandid sisaldavad venekeelseid arendaja märkusi, mis viitavad võimalikule seosele venekeelse ohurühmitusega.

Petturlikud täisekraani värskendusteated

Kui külastaja võltsitud lehega suhtleb, käivitavad HTML-i ja JavaScripti komponendid koheselt täisekraanil Windowsi värskendusdialoogi imitatsiooni. Liides kasutab sinist tausta ja lihtsat valget teksti, mis meenutab kiireloomuliste süsteemisõnumite stiili. JavaScript üritab sundida täisekraanirežiimi, samal ajal kui lisakood üritab blokeerida tavalisi paoklahve, sealhulgas Escape'i, F11, F5 ja F12, et kasutaja võltsitud värskenduse sisse lõksu jääda.
Sellest hoolimata võimaldavad rakendusvead Escape'il ja F11-l endiselt toimida, pakkudes kasutajatele võimalikku väljapääsu.

Pettuse tuum peitub ohvrile kuvatavates juhistes: avage Windowsi käivitamise dialoogiboks, kleepige eelnevalt kopeeritud käsk ja käivitage see. Nende sammude järgimine käivitab pahatahtliku sisu ja algatab kompromiteerimise.

ClickFixi domineerimine ja rünnaku areng

ClickFixi-tüüpi aktiivsus on järsult suurenenud, moodustades nüüd peaaegu poole dokumenteeritud esmakordsetest juurdepääsujuhtumitest. Traditsiooniliselt imiteerivad sellised ohud CAPTCHA kontrolle või tõrkeotsingu viipasid. JackFixi kampaania tähistab nihet kaasahaaravamate ja süsteemsemate peibutiste poole, näidates, kuidas ründajad pidevalt täiustavad psühholoogilist manipuleerimist, et saavutada kasutaja abistatav koodi käivitamine.

Kihiline hägustamine ja käsklusega käivitatav kasuliku lasti kohaletoimetamine

Ohvri arvutis käivitatav esimene käsk kasutab JavaScripti sisaldava MSHTA kasuliku faili käivitamiseks mshta.exe. See skript kutsub PowerShelli käsu, mis hangib kaugserverist uue PowerShelli etapi. Kontrolli vältimiseks suunatakse seotud domeenid käsitsi juurdepääsu korral kahjututele saitidele, nagu Google või Steam. Ainult teatud PowerShelli käskude (nt irm või iwr) kaudu tehtud päringud käivitavad pahatahtliku vastuse, lisades olulise analüüsibarjääri.

Allalaaditud PowerShelli skript sisaldab tugevat hägustamist: rämpskoodi, peidetud loogikat ja kontrolle, mis on mõeldud pöördprojekteerimise takistamiseks. Samuti üritab see privileege laiendada ja lisab viirusetõrje erandeid, mis on seotud C2 lõpp-punktide ja testimiskataloogidega.

Sunnitud õiguste eskaleerimine ja kasuliku koormuse juurutamine

Õiguste suurendamiseks kasutatakse cmdlet-käsku Start-Process parameetriga -Verb RunAs, mis küsib ohvrilt korduvalt õigusi, kuni talle antakse administraatoriõigused. Kui õigused on suurendatud, juurutab skript lisakomponente, sageli kergeid kaugjuurdepääsu troojalasi, mis on loodud C2-serveriga ühenduse loomiseks ja edasise pahavara hankimiseks.

Varastajate ja laadijate mitmekesine arsenal

Pahavara on täheldatud edastamas kuni kaheksat erinevat kasulikku last, sealhulgas:

  • Rhadamanthyse varastaja, Vidari varastaja 2.0, RedLine'i varastaja, Amadey
  • Teised laadurid ja RAT-id, mida kasutatakse järelohtude lavastamiseks

Juba ühest edukast hukkamisest piisab tundlike andmete ohtu seadmiseks. Ohvrid kaotavad oma volitusi, krüptovaluutasid ja muud isikuandmeid. Teatud laadurid võimaldavad ründajatel sissetungi laiendada ka võimsama pahavaraga, mis suurendab oluliselt selle mõju.

Trendikas

UPS – Teie saadetisega seotud pettuse puhul on vaja...

Andmepüük, Rämpspost
Küberkurjategijad varjavad oma andmepüügikampaaniaid rutiinselt saadetise teadeteks ja UPS – teie saadetise jaoks vajalik toiming on selle parim näide. Kuigi see näib pärinevat usaldusväärselt kullerilt, ei ole see seotud ühegi seadusliku ettevõtte, organisatsiooni ega teenusepakkujaga. E-kirjad matkivad päris saadetisteateid, et petta saajaid tundlikku teavet avaldama või kahjuliku sisuga...

Sõnumi edastamise volituse nõue pettuses

Andmepüük, Rämpspost
Küberkurjategijad loodavad jätkuvalt usutavatele e-posti peibutistele, et meelitada saajaid tundlikku teavet avaldama. Üks uusimaid näiteid on sõnumi edastamise volituse nõudega pettus – operatsioon, mille eesmärk on jäljendada tavapäraseid postkastiteateid ja manipuleerida kasutajatega oma konto andmeid avaldama. Kuigi need sõnumid võivad tunduda professionaalsed, pole neil mingit seost ühegi...

Enim vaadatud

Laadimine...