Ponuda s popustom na više licenci
Baza prijetnji Malware JackFix kampanja protiv zlonamjernog softvera

JackFix kampanja protiv zlonamjernog softvera

Do Mezo. Malware. godine
Prevedi na:

Nedavna istraga ističe rastući val napada koji iskorištavaju socijalni inženjering u stilu ClickFixa. Ove sheme oslanjaju se na uvjeravanje žrtava da same izvršavaju štetne naredbe, često putem namještenih tehničkih uputa. Najnovija operacija ide dalje ovu taktiku spajajući je s lažnim web stranicama za odrasle i krivotvorenim obavijestima o ažuriranjima sustava Windows, stvarajući vrlo manipulativan lanac zaraze koji su sigurnosni timovi nazvali JackFix.

Portali za krađu identiteta s temom za odrasle kao ulazna točka

Kampanja započinje lažnim stranicama za odrasle izrađenim da nalikuju poznatim platformama, isporučenim putem zlonamjernog oglašavanja i drugih tehnika preusmjeravanja. Kada korisnici dođu na te stranice, brzo se suočavaju s hitnom porukom o ažuriranju uokvirenom kao kritična sigurnosna obavijest sustava Windows. Tema za odrasle pojačava psihološki pritisak, čineći iznenadni upit za ažuriranje uvjerljivim i obeshrabrujući korisnike da preispituju njegovu autentičnost.

Neke varijante ovih stranica sadrže komentare programera na ruskom, što sugerira moguću vezu s ruskogovornom prijetnjom.

Obmanjujuća upozorenja o ažuriranjima na cijelom zaslonu

Nakon što posjetitelj stupi u interakciju s lažnom stranicom, HTML i JavaScript komponente odmah pokreću imitaciju dijaloga za ažuriranje sustava Windows na cijelom zaslonu. Sučelje koristi plavu pozadinu i jednostavan bijeli tekst, što odražava stil sistemskih poruka visoke hitnosti. JavaScript pokušava prisiliti način rada na cijelom zaslonu, dok dodatni kod pokušava blokirati uobičajene tipke za izlaz, uključujući Escape, F11, F5 i F12, kako bi korisnika zarobio unutar lažnog ažuriranja.
Unatoč tome, pogreške u implementaciji omogućuju da Escape i F11 i dalje funkcioniraju, dajući korisnicima mogući izlaz.

Suština obmane leži u uputama koje se prikazuju žrtvi: otvorite dijalog Pokreni u sustavu Windows, zalijepite unaprijed kopiranu naredbu i izvršite je. Slijedeći ove korake, pokreće se zlonamjerni sadržaj i započinje kompromitiranje.

Dominacija ClickFixa i evolucija napada

Aktivnost u stilu ClickFixa naglo se povećala, sada predstavlja gotovo polovicu dokumentiranih događaja početnog pristupa. Tradicionalno, takve prijetnje oponašaju CAPTCHA provjere ili upite za rješavanje problema. Kampanja JackFix označava pomak prema impresivnijim i sistemskim mamcima, pokazujući kako napadači kontinuirano usavršavaju psihološku manipulaciju kako bi postigli izvršavanje koda uz pomoć korisnika.

Slojevito zamagljivanje i isporuka korisnog tereta aktivirana naredbom

Prva naredba izvršena na računalu žrtve koristi mshta.exe za pokretanje MSHTA sadržaja koji sadrži JavaScript. Ova skripta poziva PowerShell naredbu koja dohvaća drugu PowerShell fazu s udaljenog poslužitelja. Kako bi izbjegle nadzor, povezane domene preusmjeravaju na bezopasne stranice poput Googlea ili Steama kada im se pristupa ručno. Samo zahtjevi napravljeni putem određenih PowerShell naredbi, kao što su irm ili iwr, pokreću zlonamjerni odgovor, dodajući značajnu analitičku barijeru.

Preuzeta PowerShell skripta uključuje teško zamagljivanje: neželjeni kod, skrivenu logiku i provjere namijenjene sprječavanju obrnutog inženjeringa. Također pokušava eskalirati privilegije i dodaje antivirusna izuzeća vezana uz C2 krajnje točke i direktorije za pripremu.

Prisilna eskalacija privilegija i implementacija korisnog tereta

Povećanje privilegija provodi se pomoću cmdleta Start-Process s parametrom -Verb RunAs, uz ponavljanje upita žrtvi dok se ne dodijele administratorska prava. Nakon što su privilegije povećane, skripta implementira dodatne komponente, često lagane trojance za daljinski pristup dizajnirane za kontaktiranje C2 poslužitelja i dohvaćanje daljnjeg zlonamjernog softvera.

Raznolik arsenal kradljivaca i utovarivača

Zlonamjerni softver je primijećen kako isporučuje do osam različitih korisnih podataka, uključujući:

  • Kradljivac Radamanthys, Kradljivac Vidara 2.0, Kradljivac Crvene Linije, Amadey
  • Drugi učitavači i RAT-ovi korišteni su za postavljanje naknadnih prijetnji

Samo jedno uspješno izvršenje dovoljno je da ugrozi osjetljive podatke. Žrtve se suočavaju s gubitkom vjerodajnica, kriptovaluta i drugih osobnih podataka. Određeni programi za učitavanje također omogućuju napadačima da prošire upad jačim zlonamjernim softverom, što značajno povećava utjecaj.

U trendu

UPS - Potrebna je akcija u vezi s prijevarom s vašom...

Krađa identiteta, Spam
Kibernetički kriminalci rutinski prikrivaju svoje phishing kampanje kao ažuriranja o dostavi, a prijevara UPS – Potrebna je akcija za vašu pošiljku odličan je primjer. Iako se čini da dolazi od pouzdane kurirske službe, nije povezana ni s jednom legitimnom tvrtkom, organizacijom ili pružateljem usluga. E-poruke oponašaju stvarne obavijesti o pošiljci kako bi prevarile primatelje da otkriju...

Nagledanije

Učitavam...