JackFix ļaunprogrammatūras kampaņa
Nesen veiktā izmeklēšana atklāj pieaugošu uzbrukumu vilni, kas izmanto ClickFix stila sociālo inženieriju. Šīs shēmas balstās uz upuru pārliecināšanu pašiem izpildīt kaitīgas komandas, bieži vien izmantojot iestudētas tehniskas norādes. Jaunākā operācija šo taktiku paplašina, apvienojot to ar viltotām pieaugušo vietnēm un viltotiem Windows atjauninājumu paziņojumiem, veidojot ļoti manipulatīvu infekcijas ķēdi, ko drošības komandas ir nodēvējušas par JackFix.
Satura rādītājs
Pieaugušajiem paredzētas pikšķerēšanas portāli kā ieejas punkts
Kampaņa sākas ar krāpnieciskām pieaugušo vietnēm, kas izveidotas, lai atgādinātu labi zināmas platformas, un tiek piegādātas, izmantojot ļaunprātīgu reklāmu un citas pāradresācijas metodes. Kad lietotāji nonāk šajās lapās, viņi ātri saskaras ar steidzamu atjauninājuma ziņojumu, kas veidots kā kritisks Windows drošības paziņojums. Pieaugušo tēma pastiprina psiholoģisko spiedienu, padarot pēkšņo atjauninājuma aicinājumu ticamu un atturējot lietotājus no tā autentiskuma apšaubīšanas.
Dažās šo vietņu variantos ir izstrādātāju piezīmes krievu valodā, kas liecina par iespējamu saistību ar krieviski runājošu draudu grupu.
Maldinoši pilnekrāna atjaunināšanas brīdinājumi
Kad apmeklētājs mijiedarbojas ar viltus lapu, HTML un JavaScript komponenti nekavējoties palaiž pilnekrāna režīmā Windows atjaunināšanas dialoglodziņa imitāciju. Saskarnē tiek izmantots zils fons un vienkāršs balts teksts, kas atgādina steidzamus sistēmas ziņojumus. JavaScript mēģina piespiesti pārslēgties uz pilnekrāna režīmu, savukārt papildu kods mēģina bloķēt bieži izmantotos taustiņus Escape, tostarp Escape, F11, F5 un F12, lai iesprostotu lietotāju viltus atjauninājumā.
Neskatoties uz to, ieviešanas kļūdas ļauj taustiņiem Escape un F11 joprojām darboties, dodot lietotājiem iespējamu izeju.
Maldināšanas būtība slēpjas upurim parādītajās instrukcijās: atveriet Windows dialoglodziņu Palaist, ielīmējiet iepriekš kopētu komandu un izpildiet to. Veicot šīs darbības, tiek palaista ļaunprātīgā vērtuma slodze un uzsākta kompromitēšana.
ClickFix dominance un uzbrukuma evolūcija
ClickFix stila aktivitāte ir strauji pieaugusi, tagad veidojot gandrīz pusi no dokumentētajiem sākotnējās piekļuves notikumiem. Tradicionāli šādi draudi atdarina CAPTCHA pārbaudes vai problēmu novēršanas uzvednes. JackFix kampaņa iezīmē pāreju uz ieskaujošākiem un sistēmai līdzīgākiem ēsmām, parādot, kā uzbrucēji nepārtraukti pilnveido psiholoģiskās manipulācijas, lai panāktu lietotāja atbalstītu koda izpildi.
Slāņota apmulsināšana un komandu vadīta lietderīgās slodzes piegāde
Pirmā upura datorā izpildītā komanda izmanto mshta.exe, lai palaistu MSHTA vērtumu, kas satur JavaScript. Šis skripts izsauc PowerShell komandu, kas no attālā servera izgūst citu PowerShell posmu. Lai izvairītos no pārbaudes, saistītie domēni, manuāli piekļūstot, novirza uz nekaitīgām vietnēm, piemēram, Google vai Steam. Tikai pieprasījumi, kas veikti, izmantojot īpašas PowerShell komandas, piemēram, irm vai iwr, izraisa ļaunprātīgu atbildi, pievienojot ievērojamu analīzes barjeru.
Lejupielādētajā PowerShell skriptā ir iekļauta ievērojama obfukcija: nevēlams kods, slēpta loģika un pārbaudes, kas paredzētas reversās inženierijas kavēšanai. Tas arī mēģina eskalēt privilēģijas un pievieno pretvīrusu izslēgšanas, kas saistītas ar C2 galapunktiem un izstrādes direktorijiem.
Piespiedu privilēģiju eskalācija un lietderīgās slodzes izvietošana
Privilēģiju palielināšana tiek veikta, izmantojot cmdlet “Start-Process” ar parametru “-Verb RunAs”, atkārtoti uzaicinot cietušo, līdz tiek piešķirtas administratora tiesības. Kad privilēģijas ir palielinātas, skripts izvieto papildu komponentus, bieži vien vieglus attālās piekļuves Trojas zirgus, kas paredzēti, lai sazinātos ar C2 serveri un ielādētu papildu ļaunprogrammatūru.
Daudzveidīgs zagļu un krāvēju arsenāls
Ir novērots, ka ļaunprogrammatūra piegādā līdz pat astoņām atšķirīgām vērtajām detaļām, tostarp:
- Rhadamanthys zaglis, Vidar zaglis 2.0, RedLine zaglis, Amadey
- Citi iekrāvēji un RAT, ko izmanto, lai izspēlētu turpmākus draudus
Pietiek tikai ar vienu veiksmīgu izpildi, lai apdraudētu sensitīvus datus. Cietušie var zaudēt akreditācijas datus, kriptovalūtu krājumus un citu personisko informāciju. Daži ielādētāji arī ļauj uzbrucējiem paplašināt ielaušanos ar spēcīgāku ļaunprogrammatūru, ievērojami palielinot ietekmi.
