Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware JackFix kártevő kampány

JackFix kártevő kampány

Mezo -ra Malware-ben
Fordítás ide:

Egy friss vizsgálat rávilágított a ClickFix-stílusú pszichológiai manipulációt kihasználó támadások egyre növekvő hullámára. Ezek a rendszerek arra épülnek, hogy az áldozatokat ráveszik káros parancsok végrehajtására, gyakran megrendezett technikai utasításokon keresztül. A legújabb művelet ezt a taktikát továbbviszi, hamis felnőtt weboldalakkal és hamis Windows frissítési értesítésekkel párosítva, így létrehozva egy rendkívül manipulatív fertőzési láncot, amelyet a biztonsági csapatok JackFixnek neveztek el.

Felnőtt témájú adathalász portálok, mint belépési pont

A kampány csaló, felnőtt tartalmú oldalakkal kezdődik, amelyek jól ismert platformokra hasonlítanak, és rosszindulatú hirdetésekkel és más átirányítási technikákkal jelennek meg. Amikor a felhasználók ezekre az oldalakra érkeznek, gyorsan egy sürgős frissítési üzenettel szembesülnek, amely kritikus Windows biztonsági értesítésként van megfogalmazva. A felnőtt téma felerősíti a pszichológiai nyomást, hihetővé teszi a hirtelen frissítési üzenetet, és elriasztja a felhasználókat attól, hogy megkérdőjelezzék annak hitelességét.

Ezen oldalak egyes változatai orosz nyelvű fejlesztői megjegyzéseket tartalmaznak, ami egy oroszul beszélő fenyegető csoporttal való lehetséges kapcsolatra utal.

Megtévesztő teljes képernyős frissítési értesítések

Amint egy látogató interakcióba lép a kamu oldallal, a HTML és JavaScript komponensek azonnal elindítanak egy teljes képernyős Windows frissítési párbeszédpanelt imitáló programot. A felület kék hátteret és egyszerű fehér szöveget használ, a sürgős rendszerüzenetek stílusát idézve. A JavaScript megpróbálja kikényszeríteni a teljes képernyős módot, míg egy további kód megpróbálja blokkolni a gyakori escape billentyűket, beleértve az Escape, F11, F5 és F12 billentyűket, hogy a felhasználót a hamis frissítés csapdájába ejtse.
Ennek ellenére a megvalósítási hibák lehetővé teszik az Escape és az F11 további működését, így a felhasználóknak lehetőségük van kijutni.

A megtévesztés lényege az áldozatnak megjelenített utasításokban rejlik: nyissa meg a Windows Futtatás párbeszédpanelt, illesszen be egy előre másolt parancsot, és hajtsa végre. A lépések követése elindítja a rosszindulatú csomagot, és megkezdi a kompromittálást.

ClickFix dominancia és a támadás evolúciója

A ClickFix-stílusú fenyegetések száma meredeken megnőtt, és most a dokumentált kezdeti hozzáférési események közel felét teszik ki. Hagyományosan az ilyen fenyegetések CAPTCHA-ellenőrzéseket vagy hibaelhárítási kérdéseket utánoznak. A JackFix kampány az immerzívebb és rendszerszerűbb csalik felé való elmozdulást jelzi, bemutatva, hogyan finomítják folyamatosan a pszichológiai manipulációt a felhasználó által segített kódfuttatás elérése érdekében.

Réteges obfuszkáció és parancsvezérelt hasznos teher kézbesítése

Az áldozat gépén végrehajtott első parancs az mshta.exe-t használja egy JavaScriptet tartalmazó MSHTA-csomag futtatásához. Ez a szkript egy PowerShell-parancsot hív meg, amely egy másik PowerShell-fázist kér le egy távoli szerverről. Az ellenőrzés elkerülése érdekében a kapcsolódó domainek manuális hozzáférés esetén ártalmatlan webhelyekre, például a Google-ra vagy a Steamre irányítanak át. Csak a specifikus PowerShell-parancsokon, például az irm-en vagy az iwr-en keresztül küldött kérések indítják el a rosszindulatú választ, ami jelentős elemzési akadályt jelent.

A letöltött PowerShell szkript erős obfuszkálást tartalmaz: szemétkódot, rejtett logikát és a visszafejtés megakadályozására szolgáló ellenőrzéseket. Emellett megpróbálja növelni a jogosultságok számát, és vírusvédelmi kizárásokat ad hozzá a C2 végpontokhoz és a tesztelési könyvtárakhoz kötve.

Kényszerített jogosultságeszkaláció és hasznos teher telepítése

A jogosultságok növelését a Start-Process parancsmag és a -Verb RunAs paraméter használatával lehet elérni, ismételten rákérdezve az áldozatra, amíg rendszergazdai jogosultságokat nem kap. A jogosultságok megemelése után a szkript további összetevőket telepít, gyakran könnyű, távoli hozzáférésű trójai vírusokat, amelyek célja, hogy kapcsolatba lépjenek egy C2-kiszolgálóval és további kártevőket töltsenek le.

Tolvajok és rakodók változatos arzenálja

A kártevő akár nyolc különböző hasznos adatot is képes volt kézbesíteni, beleértve:

  • Rhadamanthys Lopó, Vidar Lopó 2.0, RedLine Lopó, Amadey
  • Más rakodók és RAT-ok, amelyeket további fenyegetések eljátszására használnak

Már egyetlen sikeres végrehajtás is elég ahhoz, hogy érzékeny adatok kerüljenek veszélybe. Az áldozatok hitelesítő adatainak, kriptovalutáinak és egyéb személyes adatainak elvesztésével szembesülhetnek. Bizonyos betöltőprogramok lehetővé teszik a támadók számára, hogy erősebb rosszindulatú programokkal terjesszék ki a behatolást, jelentősen fokozva a hatást.

Felkapott

UPS - Intézkedés szükséges a szállítmányával...

Adathalászat, Spam
A kiberbűnözők rendszeresen kézbesítési értesítésekként álcázzák adathalász kampányaikat, és a UPS – Action Required for Your Shipment átverés erre egy kiváló példa. Bár úgy tűnik, hogy egy megbízható futárszolgálattól származik, nem áll kapcsolatban semmilyen legitim vállalattal, szervezettel vagy szolgáltatóval. Az e-mailek valódi szállítási értesítéseket utánoznak, hogy rávegyék a...

Üzenet kézbesítési engedély szükséges – átverés

Adathalászat, Spam
A kiberbűnözők továbbra is hihető e-mail csalikra támaszkodnak, hogy a címzetteket bizalmas információk kiszivárogtatására bírják. Az egyik legújabb példa az „Üzenet kézbesítési engedély szükséges” átverés, egy olyan művelet, amelynek célja a szokásos beérkező levelek értesítéseinek utánzása és a felhasználók manipulálása fiókjuk hitelesítő adatainak megadására. Bár ezek az üzenetek...

Legnézettebb

Betöltés...