قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار کمپین بدافزار JackFix

کمپین بدافزار JackFix

تا Mezo در بدافزار
ترجمه به:

تحقیقات اخیر، موج رو به رشدی از حملات را نشان می‌دهد که از مهندسی اجتماعی به سبک ClickFix سوءاستفاده می‌کنند. این طرح‌ها بر متقاعد کردن قربانیان برای اجرای دستورات مخرب توسط خودشان، اغلب از طریق دستورالعمل‌های فنی صحنه‌سازی شده، متکی هستند. آخرین عملیات، این تاکتیک را با ترکیب آن با وب‌سایت‌های جعلی بزرگسالان و اطلاعیه‌های جعلی به‌روزرسانی ویندوز، پیشرفته‌تر می‌کند و یک زنجیره آلودگی بسیار دستکاری‌شده را تشکیل می‌دهد که تیم‌های امنیتی آن را JackFix نامیده‌اند.

پورتال‌های فیشینگ با تم بزرگسالان به عنوان نقطه ورود

این کمپین با سایت‌های بزرگسالانه جعلی که شبیه پلتفرم‌های شناخته‌شده ساخته شده‌اند و از طریق تبلیغات مخرب و سایر تکنیک‌های تغییر مسیر ارائه می‌شوند، آغاز می‌شود. وقتی کاربران به این صفحات می‌رسند، به سرعت با یک پیام به‌روزرسانی فوری مواجه می‌شوند که به عنوان یک اعلان امنیتی حیاتی ویندوز ارائه شده است. تم بزرگسالانه فشار روانی را تشدید می‌کند و باعث می‌شود درخواست به‌روزرسانی ناگهانی قابل قبول به نظر برسد و کاربران را از زیر سوال بردن صحت آن منصرف کند.

برخی از انواع این سایت‌ها حاوی اظهارات توسعه‌دهنده به زبان روسی هستند که نشان‌دهنده ارتباط احتمالی با یک گروه تهدید روسی‌زبان است.

هشدارهای فریبنده به‌روزرسانی تمام‌صفحه

به محض اینکه بازدیدکننده با صفحه جعلی تعامل برقرار می‌کند، اجزای HTML و جاوا اسکریپت فوراً یک تقلید تمام صفحه از یک پنجره به‌روزرسانی ویندوز را اجرا می‌کنند. رابط کاربری از یک پس‌زمینه آبی و متن سفید ساده استفاده می‌کند که سبک پیام‌های سیستم با فوریت بالا را منعکس می‌کند. جاوا اسکریپت تلاش می‌کند تا حالت تمام صفحه را اجباری کند، در حالی که کد اضافی سعی می‌کند کلیدهای escape رایج، از جمله Escape، F11، F5 و F12 را مسدود کند تا کاربر را در دام به‌روزرسانی جعلی گرفتار کند.
با وجود این، خطاهای پیاده‌سازی به Escape و F11 اجازه می‌دهند که همچنان کار کنند و به کاربران یک راه خروج احتمالی ارائه می‌دهند.

راز این فریب در دستورالعمل‌هایی نهفته است که به قربانی نمایش داده می‌شود: پنجره‌ی Run ویندوز را باز کنید، یک دستور از پیش کپی شده را در آن قرار دهید و آن را اجرا کنید. پس از این مراحل، بار داده‌ی مخرب اجرا شده و نفوذ آغاز می‌شود.

تسلط ClickFix و تکامل حمله

فعالیت‌های به سبک ClickFix به شدت افزایش یافته است، و اکنون تقریباً نیمی از رویدادهای دسترسی اولیه مستند شده را تشکیل می‌دهد. به طور سنتی، چنین تهدیدهایی، بررسی‌های CAPTCHA یا درخواست‌های عیب‌یابی را جعل می‌کنند. کمپین JackFix نشان‌دهنده تغییر به سمت فریب‌های فراگیرتر و سیستمی‌تر است و نشان می‌دهد که چگونه مهاجمان به طور مداوم دستکاری روانی را برای دستیابی به اجرای کد با کمک کاربر اصلاح می‌کنند.

مبهم‌سازی لایه‌ای و تحویل بار داده با دستور

اولین دستور اجرا شده روی دستگاه قربانی، از mshta.exe برای اجرای یک payload MSHTA حاوی جاوا اسکریپت استفاده می‌کند. این اسکریپت یک دستور PowerShell را فراخوانی می‌کند که مرحله PowerShell دیگری را از یک سرور از راه دور بازیابی می‌کند. برای جلوگیری از بررسی دقیق، دامنه‌های مرتبط هنگام دسترسی دستی به سایت‌های بی‌خطر مانند Google یا Steam هدایت می‌شوند. فقط درخواست‌هایی که از طریق دستورات PowerShell خاص، مانند irm یا iwr، ارسال می‌شوند، پاسخ مخرب را فعال می‌کنند و مانع تجزیه و تحلیل قابل توجهی را ایجاد می‌کنند.

اسکریپت پاورشل دانلود شده شامل مبهم‌سازی شدید است: کد بی‌ارزش، منطق پنهان و بررسی‌هایی که برای جلوگیری از مهندسی معکوس در نظر گرفته شده‌اند. همچنین تلاش می‌کند تا سطح دسترسی را افزایش دهد و استثنائات آنتی‌ویروس مرتبط با نقاط پایانی C2 و دایرکتوری‌های مرحله‌بندی را اضافه می‌کند.

افزایش اجباری امتیاز و استقرار بار داده

افزایش امتیاز با استفاده از دستور Start‑Process به همراه پارامتر -Verb RunAs دنبال می‌شود و مکرراً قربانی را تا زمان اعطای امتیازات مدیریتی، مطلع می‌کند. پس از افزایش امتیاز، اسکریپت اجزای اضافی، اغلب تروجان‌های سبک دسترسی از راه دور که برای تماس با سرور C2 و دریافت بدافزارهای بیشتر طراحی شده‌اند، را مستقر می‌کند.

زرادخانه‌ای متنوع از دزدها و لودرها

مشاهده شده است که این بدافزار تا هشت نوع داده‌ی مجزا را منتقل می‌کند، از جمله:

  • دزد رادامانتيس، دزد ويدار ۲.۰، دزد ردلاين، آمادي
  • سایر لودرها و RATهایی که برای اجرای تهدیدات بعدی استفاده می‌شوند

تنها یک اجرای موفقیت‌آمیز برای به خطر انداختن داده‌های حساس کافی است. قربانیان با از دست دادن اعتبارنامه‌ها، دارایی‌های رمزنگاری‌شده و سایر اطلاعات شخصی مواجه می‌شوند. برخی از لودرها همچنین به مهاجمان این امکان را می‌دهند که نفوذ را با بدافزارهای قوی‌تر گسترش دهند و تأثیر را به میزان قابل توجهی افزایش دهند.

پرطرفدار

UPS - اقدامات لازم برای کلاهبرداری حمل و نقل شما

فیشینگ, هرزنامه
مجرمان سایبری معمولاً کمپین‌های فیشینگ خود را در پوشش به‌روزرسانی‌های تحویل پنهان می‌کنند و کلاهبرداری UPS – Action Required for Your Shipping Scam یک نمونه بارز آن است. اگرچه به نظر می‌رسد از یک پیک معتبر ارسال شده است، اما با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات قانونی مرتبط نیست. این ایمیل‌ها از اعلان‌های حمل و نقل واقعی تقلید می‌کنند تا گیرندگان را فریب دهند تا اطلاعات حساس را افشا کنند یا...

کلاهبرداری با مجوز ارسال پیام

فیشینگ, هرزنامه
مجرمان سایبری همچنان به فریب‌های ایمیلی باورپذیر برای فریب گیرندگان جهت ارائه اطلاعات حساس تکیه می‌کنند. یکی از جدیدترین نمونه‌ها، کلاهبرداری «نیاز به مجوز تحویل پیام» است، عملیاتی که برای تقلید از اعلان‌های معمول صندوق ورودی و فریب کاربران برای ارائه اطلاعات حساب کاربری خود طراحی شده است. اگرچه این پیام‌ها ممکن است حرفه‌ای به نظر برسند، اما هیچ ارتباطی با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
30,532
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...