קמפיין תוכנות זדוניות של JackFix

חקירה שנערכה לאחרונה מדגישה גל הולך וגדל של מתקפות המנצלות הנדסה חברתית בסגנון ClickFix. תוכניות אלו מסתמכות על שכנוע קורבנות לבצע פקודות מזיקות בעצמם, לעתים קרובות באמצעות הנחיות טכניות מבוימות. המבצע האחרון לוקח את הטקטיקה הזו צעד קדימה על ידי שילובה עם אתרי אינטרנט מזויפים למבוגרים והודעות עדכוני Windows מזויפות, ויוצר שרשרת הדבקה מניפולטיבית ביותר שצוותי אבטחה כינו JackFix.

פורטלים של פישינג למבוגרים כנקודת כניסה

הקמפיין מתחיל באתרים הונאה למבוגרים שנועדו להידמות לפלטפורמות ידועות, המועברים באמצעות פרסום זדוני וטכניקות הפניה אחרות. כאשר משתמשים נוחתים בדפים אלה, הם מתמודדים במהירות עם הודעת עדכון דחופה הממוסגרת כהודעת אבטחה קריטית של Windows. נושא העדכון למבוגרים מגביר את הלחץ הפסיכולוגי, מה שהופך את בקשת העדכון הפתאומית לסבירה ומרתיעה משתמשים מלהטיל ספק באמיתותה.

חלק מהגרסאות של אתרים אלה מכילות הערות מפתחים ברוסית, דבר המצביע על קשר אפשרי לקבוצת איום דוברת רוסית.

התראות עדכון מטעות במסך מלא

ברגע שמבקר מקיים אינטראקציה עם הדף המזויף, רכיבי HTML ו-JavaScript משיקים באופן מיידי חיקוי מסך מלא של תיבת דו-שיח של עדכון Windows. הממשק משתמש ברקע כחול ובטקסט לבן פשוט, המהדהד את הסגנון של הודעות מערכת בדחיפות גבוהה. JavaScript מנסה לכפות מצב מסך מלא, בעוד שקוד נוסף מנסה לחסום מקשי Escape נפוצים, כולל Escape, F11, F5 ו-F12, כדי ללכוד את המשתמש בתוך העדכון המזויף.
למרות זאת, שגיאות יישום מאפשרות ל-Escape ול-F11 עדיין לתפקד, מה שנותן למשתמשים דרך מוצא אפשרית.

לב ליבה של ההונאה טמון בהוראות המוצגות לקורבן: פתח את תיבת הדו-שיח הפעלה של Windows, הדבק פקודה שהועתקה מראש והפעל אותה. ביצוע שלבים אלה מפעיל את המטען הזדוני ומתחיל את הפריצה.

הדומיננטיות של ClickFix והתפתחות ההתקפה

פעילות בסגנון ClickFix גדלה בחדות, וכעת מייצגת כמעט מחצית מאירועי הגישה הראשוניים המתועדים. באופן מסורתי, איומים כאלה מתחזים לבדיקות CAPTCHA או הנחיות לפתרון בעיות. קמפיין JackFix מסמן מעבר לפיתויים סוחפים ומערכתיים יותר, ומראה כיצד תוקפים ממשיכים לשפר את המניפולציה הפסיכולוגית כדי להשיג ביצוע קוד בסיוע המשתמש.

ערפול שכבתי ומסירת מטען המופעלת על ידי פקודה

הפקודה הראשונה שבוצעה במחשב של הקורבן משתמשת ב-mshta.exe כדי להפעיל מטען MSHTA המכיל JavaScript. סקריפט זה קורא לפקודת PowerShell שמאחזרת שלב PowerShell נוסף משרת מרוחק. כדי להימנע מבדיקה, הדומיינים המשויכים מפנים לאתרים לא מזיקים כמו גוגל או Steam כאשר ניגשים אליהם באופן ידני. רק בקשות שבוצעו באמצעות פקודות PowerShell ספציפיות, כגון irm או iwr, מפעילות את התגובה הזדונית, ומוסיפות מחסום ניתוח משמעותי.

סקריפט ה-PowerShell שהורד כולל ערפול כבד: קוד זבל, לוגיקה נסתרת ובדיקות שנועדו להפריע להנדסה לאחור. הוא גם מנסה להעלות הרשאות ומוסיף אי הכללות של אנטי-וירוס הקשורות לנקודות קצה של C2 ולספריות staging.

הסלמת הרשאות כפויה ופריסת מטען

הגדלת הרשאות מתבצעת באמצעות cmdlet Start‑Process עם הפרמטר -Verb RunAs, תוך הנחיה חוזרת ונשנית לקורבן עד להענקת הרשאות ניהול. לאחר הגדלת ההרשאות, הסקריפט פורס רכיבים נוספים, לרוב טרויאנים קלים לגישה מרחוק שנועדו ליצור קשר עם שרת C2 ולאחזר תוכנות זדוניות נוספות.

ארסנל מגוון של גנבים ומטעינים

התוכנה הזדונית נצפתה ומספקת עד שמונה מטענים שונים, כולל:

• רדמנתיס סטילר, וידאר סטילר 2.0, רדליין סטילר, אמדי
• מעמיסים ו-RATs אחרים המשמשים לביים איומי המשך

רק ביצוע מוצלח אחד מספיק כדי לסכן נתונים רגישים. קורבנות מתמודדים עם אובדן אישורים, אחזקות קריפטו ומידע אישי אחר. תוכנות טעינה מסוימות מאפשרות גם לתוקפים להרחיב את הפריצה עם תוכנות זדוניות חזקות יותר, מה שמסלים את ההשפעה באופן משמעותי.