„JackFix“ kenkėjiškų programų kampanija
Naujausias tyrimas atskleidžia augančią atakų bangą, išnaudojant „ClickFix“ stiliaus socialinę inžineriją. Šios schemos remiasi aukų įtikinėjimu pačioms vykdyti kenksmingas komandas, dažnai per inscenizuotas technines instrukcijas. Naujausia operacija šią taktiką dar labiau išplečia, sujungiant ją su netikromis suaugusiųjų svetainėmis ir padirbtais „Windows“ naujinimų pranešimais, taip suformuojant itin manipuliuojančią užkrėtimo grandinę, kurią saugumo komandos pavadino „JackFix“.
Turinys
Suaugusiesiems skirti sukčiavimo apsimetant portalai kaip patekimo taškas
Kampanija prasideda nuo apgaulingų suaugusiųjų svetainių, sukurtų taip, kad primintų gerai žinomas platformas, ir pateikiamų naudojant kenkėjišką reklamą bei kitus peradresavimo metodus. Kai vartotojai patenka į šiuos puslapius, jie greitai susiduria su skubaus atnaujinimo pranešimu, pateiktu kaip svarbus „Windows“ saugos pranešimas. Suaugusiųjų tematika sustiprina psichologinį spaudimą, todėl staigus atnaujinimo raginimas atrodo įtikinamas ir atgraso vartotojus nuo abejonių dėl jo autentiškumo.
Kai kuriuose šių svetainių variantuose yra kūrėjų pastabų rusų kalba, rodančių galimą ryšį su rusakalbe grėsmių grupe.
Apgaulingi viso ekrano atnaujinimų įspėjimai
Kai lankytojas sąveikauja su netikru puslapiu, HTML ir „JavaScript“ komponentai akimirksniu paleidžia viso ekrano „Windows“ naujinimo dialogo lango imitaciją. Sąsajoje naudojamas mėlynas fonas ir paprastas baltas tekstas, atkartojantis skubių sistemos pranešimų stilių. „JavaScript“ bando priverstinai įjungti viso ekrano režimą, o papildomas kodas bando blokuoti įprastus Escape klavišus, įskaitant Escape, F11, F5 ir F12, kad vartotojas liktų netikro atnaujinimo lauke.
Nepaisant to, dėl diegimo klaidų „Escape“ ir „F11“ vis dar veikia, suteikdamos vartotojams galimybę išeitį.
Apgaulės esmė slypi aukai rodomose instrukcijose: atidarykite „Windows“ dialogo langą „Vykdyti“, įklijuokite iš anksto nukopijuotą komandą ir ją vykdykite. Atlikus šiuos veiksmus, paleidžiamas kenkėjiškas paketas ir inicijuojamas įsilaužimas.
„ClickFix“ dominavimas ir atakos evoliucija
„ClickFix“ stiliaus aktyvumas smarkiai išaugo ir dabar sudaro beveik pusę visų dokumentuotų pradinės prieigos įvykių. Tradiciškai tokios grėsmės imituoja CAPTCHA patikrinimus arba trikčių šalinimo raginimus. „JackFix“ kampanija žymi poslinkį link labiau įtraukiančių ir į sistemą panašių masalų, parodydama, kaip užpuolikai nuolat tobulina psichologines manipuliacijas, kad pasiektų naudotojo padedamą kodo vykdymą.
Sluoksniuotas obfuskavimas ir komandomis valdomas naudingojo krovinio tiekimas
Pirmoji aukos kompiuteryje vykdoma komanda panaudoja „mshta.exe“, kad paleistų MSHTA paketą su „JavaScript“. Šis scenarijus iškviečia „PowerShell“ komandą, kuri nuskaito kitą „PowerShell“ etapą iš nuotolinio serverio. Siekiant išvengti tikrinimo, susiję domenai, pasiekus juos rankiniu būdu, nukreipia į nekenksmingas svetaines, tokias kaip „Google“ ar „Steam“. Kenkėjišką atsaką sukelia tik užklausos, pateiktos naudojant konkrečias „PowerShell“ komandas, pvz., „irm“ ar „iwr“, o tai padidina analizės barjerą.
Atsisiųstame „PowerShell“ scenarijuje yra daug kodavimo elementų: nepageidaujamo kodo, paslėptos logikos ir patikrinimų, skirtų trukdyti atvirkštinei inžinerijai. Jis taip pat bando didinti privilegijas ir prideda antivirusinių programų išimtis, susietas su C2 galiniais punktais ir testavimo katalogais.
Priverstinis privilegijų eskalavimas ir naudingosios apkrovos diegimas
Privilegijų padidinimas vykdomas naudojant „Start-Process“ cmdlet su parametru „-Verb RunAs“, pakartotinai raginant auką tai padaryti, kol jai suteikiamos administratoriaus teisės. Padidinus teises, scenarijus įdiegia papildomus komponentus, dažnai lengvus nuotolinės prieigos Trojos arklius, skirtus susisiekti su C2 serveriu ir atsisiųsti daugiau kenkėjiškų programų.
Įvairus vagių ir krovėjų arsenalas
Pastebėta, kad kenkėjiška programa pateikia iki aštuonių skirtingų naudingųjų duomenų, įskaitant:
- Rhadamanthys vagys, Vidar vagys 2.0, RedLine vagys, Amadey
- Kiti krautuvai ir RAT, naudojami tolesnėms grėsmėms inscenizuoti
Vos vieno sėkmingo vykdymo pakanka, kad būtų pakenkta neskelbtiniems duomenims. Aukos praranda prisijungimo duomenis, kriptovaliutų turtą ir kitą asmeninę informaciją. Kai kurie įkėlimo įrankiai taip pat leidžia užpuolikams išplėsti įsilaužimą galingesne kenkėjiška programa, taip žymiai padidinant poveikį.
