Campagna malware JackFix
Una recente indagine evidenzia una crescente ondata di attacchi che sfruttano l'ingegneria sociale in stile ClickFix. Questi schemi si basano sul convincere le vittime a eseguire autonomamente comandi dannosi, spesso tramite prompt tecnici improvvisati. L'ultima operazione porta questa tattica a un livello superiore, abbinandola a falsi siti web per adulti e falsi avvisi di aggiornamento di Windows, dando vita a una catena di infezioni altamente manipolativa che i team di sicurezza hanno soprannominato JackFix.
Sommario
Portali di phishing per adulti come punto di ingresso
La campagna inizia con siti per adulti fraudolenti, creati per assomigliare a piattaforme note, distribuiti tramite malvertising e altre tecniche di reindirizzamento. Quando gli utenti atterrano su queste pagine, si trovano rapidamente di fronte a un messaggio di aggiornamento urgente, presentato come una notifica di sicurezza critica di Windows. Il tema per adulti amplifica la pressione psicologica, rendendo plausibile l'improvvisa richiesta di aggiornamento e scoraggiando gli utenti dal metterne in dubbio l'autenticità.
Alcune varianti di questi siti contengono commenti degli sviluppatori in russo, suggerendo un possibile collegamento con un gruppo di minaccia di lingua russa.
Avvisi di aggiornamento ingannevoli a schermo intero
Non appena un visitatore interagisce con la pagina non autorizzata, i componenti HTML e JavaScript avviano immediatamente un'imitazione a schermo intero di una finestra di dialogo di aggiornamento di Windows. L'interfaccia utilizza uno sfondo blu e un semplice testo bianco, richiamando lo stile dei messaggi di sistema ad alta urgenza. JavaScript tenta di forzare la modalità a schermo intero, mentre un codice aggiuntivo cerca di bloccare i tasti di scelta rapida più comuni, tra cui Esc, F11, F5 e F12, per intrappolare l'utente nel falso aggiornamento.
Nonostante ciò, gli errori di implementazione consentono a Escape e F11 di continuare a funzionare, offrendo agli utenti una possibile via d'uscita.
Il nocciolo dell'inganno risiede nelle istruzioni visualizzate alla vittima: aprire la finestra di dialogo Esegui di Windows, incollare un comando pre-copiato ed eseguirlo. Seguendo questi passaggi, il payload dannoso viene lanciato e la compromissione inizia.
Dominanza di ClickFix e l’evoluzione dell’attacco
L'attività in stile ClickFix è aumentata notevolmente, rappresentando ora quasi la metà degli eventi di accesso iniziale documentati. Tradizionalmente, tali minacce impersonano controlli CAPTCHA o prompt di risoluzione dei problemi. La campagna JackFix segna un passaggio verso esche più immersive e sistemiche, mostrando come gli aggressori affinino continuamente la manipolazione psicologica per ottenere l'esecuzione di codice assistita dall'utente.
Offuscamento a strati e distribuzione del payload attivata da comando
Il primo comando eseguito sul computer della vittima sfrutta mshta.exe per eseguire un payload MSHTA contenente JavaScript. Questo script richiama un comando PowerShell che recupera un'altra fase di PowerShell da un server remoto. Per eludere l'analisi, i domini associati reindirizzano a siti innocui come Google o Steam quando vi si accede manualmente. Solo le richieste effettuate tramite specifici comandi PowerShell, come irm o iwr, attivano la risposta dannosa, aggiungendo una significativa barriera all'analisi.
Lo script PowerShell scaricato include un offuscamento pesante: codice spazzatura, logica nascosta e controlli volti a ostacolare il reverse engineering. Tenta inoltre l'escalation dei privilegi e aggiunge esclusioni antivirus legate agli endpoint C2 e alle directory di staging.
Escalation forzata dei privilegi e distribuzione del payload
L'aumento dei privilegi viene perseguito utilizzando il cmdlet Start-Process con il parametro -Verb RunAs, richiedendo ripetutamente alla vittima i diritti amministrativi finché non vengono concessi. Una volta ottenuti i privilegi, lo script distribuisce componenti aggiuntivi, spesso trojan di accesso remoto leggeri progettati per contattare un server C2 e recuperare ulteriore malware.
Un arsenale diversificato di ladri e sfruttatori
È stato osservato che il malware diffonde fino a otto payload distinti, tra cui:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- Altri caricatori e RAT utilizzati per organizzare minacce successive
Basta una sola esecuzione riuscita per mettere a repentaglio i dati sensibili. Le vittime rischiano la perdita di credenziali, criptovalute e altre informazioni personali. Alcuni loader consentono inoltre agli aggressori di estendere l'intrusione con malware più potenti, aumentandone significativamente l'impatto.
