JackFix-haittaohjelmakampanja
Äskettäinen tutkimus paljastaa kasvavan aallon hyökkäyksiä, joissa hyödynnetään ClickFix-tyyppistä sosiaalista manipulointia. Nämä hyökkäykset perustuvat uhrien suostutteluun suorittamaan haitallisia komentoja itse, usein lavastettujen teknisten kehotteiden avulla. Viimeisin operaatio vie tätä taktiikkaa pidemmälle yhdistämällä sen väärennettyihin aikuisille suunnattuihin verkkosivustoihin ja väärennettyihin Windows-päivitysilmoituksiin, muodostaen erittäin manipuloivan tartuntaketjun, jonka tietoturvatiimit ovat nimenneet JackFixiksi.
Sisällysluettelo
Aikuisille suunnatut tietojenkalasteluportaalit aloituspaikkana
Kampanja alkaa huijaavilla aikuisille tarkoitetuilla sivustoilla, jotka on suunniteltu muistuttamaan tunnettuja alustoja ja joita jaetaan haitallisten mainosten ja muiden uudelleenohjaustekniikoiden avulla. Kun käyttäjät päätyvät näille sivuille, he kohtaavat nopeasti kiireellisen päivitysviestin, joka on muotoiltu kriittiseksi Windowsin tietoturvailmoitukseksi. Aikuisille suunnattu teema vahvistaa psykologista painetta, jolloin äkillinen päivityskehote vaikuttaa uskottavalta ja estää käyttäjiä kyseenalaistamasta sen aitoutta.
Joissakin näiden sivustojen muunnelmissa on kehittäjien kommentteja venäjäksi, mikä viittaa mahdolliseen yhteyteen venäjänkieliseen uhkaryhmään.
Harhaanjohtavat koko näytön päivityshälytykset
Kun kävijä on vuorovaikutuksessa haavoittuneen sivun kanssa, HTML- ja JavaScript-komponentit käynnistävät välittömästi koko näytön kokoisen Windows-päivitysvalintaikkunan jäljitelmän. Käyttöliittymässä on sininen tausta ja yksinkertainen valkoinen teksti, jotka muistuttavat kiireellisten järjestelmäviestien tyyliä. JavaScript yrittää pakottaa koko näytön tilan, kun taas lisäkoodi yrittää estää yleisiä Escape-näppäimiä, kuten Escape, F11, F5 ja F12, estääkseen käyttäjän toimimasta haavoittuneen päivityksen sisällä.
Tästä huolimatta toteutusvirheet mahdollistavat Escapen ja F11:n toiminnan edelleen, mikä antaa käyttäjille mahdollisuuden poistua.
Petoksen ydin piilee uhrille näytettävissä ohjeissa: avaa Windowsin Suorita-valintaikkuna, liitä esikopioitu komento ja suorita se. Näiden vaiheiden noudattaminen käynnistää haitallisen hyötykuorman ja aloittaa tietomurron.
ClickFixin dominanssi ja hyökkäyksen kehitys
ClickFix-tyyppinen toiminta on lisääntynyt jyrkästi ja edustaa nyt lähes puolta dokumentoiduista ensimmäisistä käyttötapahtumista. Perinteisesti tällaiset uhat jäljittelevät CAPTCHA-tarkistuksia tai vianmäärityskehotteita. JackFix-kampanja merkitsee siirtymistä kohti mukaansatempaavampia ja järjestelmämäisempiä houkuttimia ja osoittaa, kuinka hyökkääjät jatkuvasti jalostavat psykologista manipulointia saavuttaakseen käyttäjän avustettua koodin suorittamista.
Kerrostettu hämärtäminen ja komennolla laukaistava hyötykuorman toimitus
Uhrin koneella suoritettava ensimmäinen komento hyödyntää mshta.exe-komentoa JavaScriptiä sisältävän MSHTA-hyötykuorman suorittamiseen. Tämä skripti kutsuu PowerShell-komentoa, joka hakee toisen PowerShell-vaiheen etäpalvelimelta. Välttääkseen tarkastelun liittyvät verkkotunnukset ohjaavat manuaalisesti käytettäessä vaarattomille sivustoille, kuten Google tai Steam. Vain tiettyjen PowerShell-komentojen, kuten irm tai iwr, kautta tehdyt pyynnöt laukaisevat haitallisen vasteen, mikä lisää merkittävän analyysiesteen.
Ladattu PowerShell-skripti sisältää runsaasti obfuskaatiota: roskakoodia, piilotettua logiikkaa ja tarkistuksia, joiden tarkoituksena on estää takaisinmallinnusta. Se yrittää myös laajentaa käyttöoikeuksia ja lisää virustorjuntaohjelmien poissulkemisia C2-päätepisteisiin ja testihakemistoihin.
Pakotettu oikeuksien eskalointi ja hyötykuormien käyttöönotto
Oikeuksien nostamista pyritään tekemään Start-Process-cmdlet-komennolla ja -Verb RunAs-parametrilla, joka kehottaa uhria toistuvasti, kunnes järjestelmänvalvojan oikeudet myönnetään. Kun oikeudet on nostettu, komentosarja ottaa käyttöön lisäkomponentteja, usein kevyitä etäkäyttötroijalaisia, jotka on suunniteltu ottamaan yhteyttä C2-palvelimeen ja hakemaan lisää haittaohjelmia.
Monipuolinen arsenaali varkaita ja kuormaajia
Haittaohjelman on havaittu toimittavan jopa kahdeksaa erillistä hyötykuormaa, mukaan lukien:
- Rhadamanthys-varas, Vidar-varas 2.0, RedLine-varas, Amadey
- Muita latauslaitteita ja RAT-hyökkäyksiä käytetään jatkouhkien lavastamiseen
Jo yksi onnistunut suoritus riittää vaarantamaan arkaluontoiset tiedot. Uhrit menettävät tunnistetietoja, kryptovaluuttoja ja muita henkilökohtaisia tietoja. Tietyt latausohjelmat mahdollistavat hyökkääjien myös laajentaa tunkeutumista tehokkaammilla haittaohjelmilla, mikä lisää vaikutusta merkittävästi.
