जैकफिक्स मैलवेयर अभियान

एक हालिया जाँच ने क्लिकफिक्स-शैली की सोशल इंजीनियरिंग का फायदा उठाकर हमलों की बढ़ती लहर को उजागर किया है। ये योजनाएँ अक्सर बनावटी तकनीकी संकेतों के ज़रिए पीड़ितों को खुद ही हानिकारक आदेशों को लागू करने के लिए राज़ी करने पर निर्भर करती हैं। नवीनतम ऑपरेशन इस रणनीति को और आगे ले जाता है, इसे नकली वयस्क वेबसाइटों और नकली विंडोज़ अपडेट नोटिस के साथ जोड़कर, एक बेहद हेरफेर करने वाली संक्रमण श्रृंखला बनाता है जिसे सुरक्षा टीमों ने जैकफिक्स नाम दिया है।

प्रवेश बिंदु के रूप में वयस्क-थीम वाले फ़िशिंग पोर्टल

अभियान की शुरुआत धोखाधड़ी वाली वयस्क साइटों से होती है, जिन्हें जाने-माने प्लेटफ़ॉर्म जैसा बनाया गया है और जिन्हें मैलवेयर और अन्य रीडायरेक्ट तकनीकों के ज़रिए फैलाया जाता है। जब उपयोगकर्ता इन पृष्ठों पर आते हैं, तो उन्हें तुरंत एक ज़रूरी अपडेट संदेश दिखाई देता है, जिसे एक महत्वपूर्ण विंडोज सुरक्षा सूचना के रूप में प्रस्तुत किया जाता है। वयस्क विषय मनोवैज्ञानिक दबाव को बढ़ा देता है, जिससे अचानक अपडेट का संकेत विश्वसनीय लगता है और उपयोगकर्ता इसकी प्रामाणिकता पर सवाल उठाने से हतोत्साहित होते हैं।

इन साइटों के कुछ संस्करणों में डेवलपर की टिप्पणियां रूसी भाषा में हैं, जो रूसी भाषी खतरा समूह से संभावित संबंध का संकेत देती हैं।

भ्रामक पूर्ण-स्क्रीन अपडेट अलर्ट

जैसे ही कोई विज़िटर नकली पेज से इंटरैक्ट करता है, HTML और JavaScript घटक तुरंत एक पूर्ण-स्क्रीन अनुकरण वाला विंडोज अपडेट डायलॉग लॉन्च कर देते हैं। इंटरफ़ेस में नीली पृष्ठभूमि और साधारण सफ़ेद टेक्स्ट का इस्तेमाल किया गया है, जो उच्च-आवश्यकता वाले सिस्टम संदेशों की शैली को प्रतिध्वनित करता है। JavaScript पूर्ण-स्क्रीन मोड को लागू करने का प्रयास करता है, जबकि अतिरिक्त कोड उपयोगकर्ता को नकली अपडेट में फँसाने के लिए Escape, F11, F5, और F12 सहित सामान्य एस्केप कुंजियों को ब्लॉक करने का प्रयास करता है।
इसके बावजूद, कार्यान्वयन संबंधी त्रुटियों के कारण एस्केप और F11 अभी भी कार्य करते रहते हैं, जिससे उपयोगकर्ताओं को बाहर निकलने का एक संभावित रास्ता मिल जाता है।

धोखे की जड़ पीड़ित को दिखाए गए निर्देशों में है: विंडोज रन डायलॉग बॉक्स खोलें, पहले से कॉपी किया हुआ कमांड पेस्ट करें और उसे निष्पादित करें। इन चरणों का पालन करने से दुर्भावनापूर्ण पेलोड लॉन्च हो जाता है और समझौता शुरू हो जाता है।

क्लिकफिक्स का प्रभुत्व और हमले का विकास

क्लिकफिक्स-शैली की गतिविधियों में तेज़ी से वृद्धि हुई है, जो अब प्रलेखित प्रारंभिक पहुँच घटनाओं का लगभग आधा हिस्सा है। परंपरागत रूप से, ऐसे खतरे कैप्चा जाँच या समस्या निवारण संकेतों का प्रतिरूपण करते हैं। जैकफिक्स अभियान अधिक गहन और सिस्टम-जैसे प्रलोभनों की ओर एक बदलाव का प्रतीक है, जो दर्शाता है कि कैसे हमलावर उपयोगकर्ता-सहायता प्राप्त कोड निष्पादन को प्राप्त करने के लिए मनोवैज्ञानिक हेरफेर को लगातार परिष्कृत करते रहते हैं।

स्तरित अस्पष्टीकरण और कमांड-ट्रिगर पेलोड वितरण

पीड़ित की मशीन पर निष्पादित पहला कमांड जावास्क्रिप्ट युक्त MSHTA पेलोड चलाने के लिए mshta.exe का उपयोग करता है। यह स्क्रिप्ट एक PowerShell कमांड को कॉल करती है जो किसी दूरस्थ सर्वर से एक अन्य PowerShell स्टेज प्राप्त करता है। जाँच से बचने के लिए, संबंधित डोमेन मैन्युअल रूप से एक्सेस किए जाने पर Google या Steam जैसी हानिरहित साइटों पर रीडायरेक्ट हो जाते हैं। केवल विशिष्ट PowerShell कमांड, जैसे irm या iwr, के माध्यम से किए गए अनुरोध ही दुर्भावनापूर्ण प्रतिक्रिया को ट्रिगर करते हैं, जिससे विश्लेषण में एक महत्वपूर्ण बाधा उत्पन्न होती है।

डाउनलोड की गई PowerShell स्क्रिप्ट में भारी अस्पष्टता शामिल है: जंक कोड, छिपा हुआ तर्क, और रिवर्स इंजीनियरिंग में बाधा डालने वाले चेक। यह विशेषाधिकार वृद्धि का भी प्रयास करता है और C2 एंडपॉइंट्स और स्टेजिंग निर्देशिकाओं से जुड़े एंटीवायरस बहिष्करण जोड़ता है।

जबरन विशेषाधिकार वृद्धि और पेलोड परिनियोजन

विशेषाधिकार उन्नयन को Start‑Process cmdlet का उपयोग करके -Verb RunAs पैरामीटर के साथ आगे बढ़ाया जाता है, और पीड़ित को प्रशासनिक अधिकार मिलने तक बार-बार संकेत दिया जाता है। एक बार उन्नत होने पर, स्क्रिप्ट अतिरिक्त घटकों को तैनात करती है, जो अक्सर हल्के रिमोट एक्सेस ट्रोजन होते हैं जिन्हें C2 सर्वर से संपर्क करने और आगे मैलवेयर लाने के लिए डिज़ाइन किया जाता है।

चोरों और लुटेरों का एक विविध शस्त्रागार

मैलवेयर को आठ अलग-अलग पेलोड वितरित करते हुए देखा गया है, जिनमें शामिल हैं:

• रादामंथिस स्टीलर, विडार स्टीलर 2.0, रेडलाइन स्टीलर, अमाडे
• अन्य लोडर और आरएटी का उपयोग अनुवर्ती खतरों को अंजाम देने के लिए किया जाता है

संवेदनशील डेटा को खतरे में डालने के लिए सिर्फ़ एक सफल निष्पादन ही काफ़ी है। पीड़ितों को क्रेडेंशियल, क्रिप्टो होल्डिंग्स और अन्य व्यक्तिगत जानकारी का नुकसान उठाना पड़ता है। कुछ लोडर हमलावरों को और भी ज़्यादा शक्तिशाली मैलवेयर के ज़रिए घुसपैठ को बढ़ाने में मदद करते हैं, जिससे प्रभाव काफ़ी बढ़ जाता है।