Kempen Malware JackFix
Siasatan baru-baru ini menyerlahkan gelombang serangan yang semakin meningkat yang mengeksploitasi kejuruteraan sosial gaya ClickFix. Skim ini bergantung pada meyakinkan mangsa untuk melaksanakan sendiri arahan berbahaya, selalunya melalui arahan teknikal berperingkat. Operasi terbaru membawa taktik ini lebih jauh dengan memasangkannya dengan tapak web dewasa palsu dan notis kemas kini Windows palsu, membentuk pasukan keselamatan rantaian jangkitan yang sangat manipulatif telah digelar JackFix.
Isi kandungan
Portal Phishing Bertemakan Dewasa sebagai Titik Kemasukan
Kempen ini bermula dengan laman web dewasa penipuan yang direka untuk menyerupai platform yang terkenal, disampaikan melalui pemalvertan dan teknik ubah hala lain. Apabila pengguna mendarat di halaman ini, mereka dengan pantas berhadapan dengan mesej kemas kini segera yang dirangka sebagai pemberitahuan keselamatan Windows yang kritikal. Tema dewasa menguatkan tekanan psikologi, menjadikan pengemaskinian mengejut itu kelihatan munasabah dan tidak menggalakkan pengguna mempersoalkan kesahihannya.
Sesetengah varian tapak ini mengandungi kenyataan pembangun dalam bahasa Rusia, mencadangkan kemungkinan sambungan kepada kumpulan ancaman berbahasa Rusia.
Makluman Kemas Kini Skrin Penuh yang Mengelirukan
Sebaik sahaja pelawat berinteraksi dengan halaman penyangak, komponen HTML dan JavaScript dengan serta-merta melancarkan tiruan skrin penuh bagi dialog kemas kini Windows. Antara muka menggunakan latar belakang biru dan teks putih ringkas, menggemakan gaya mesej sistem yang mendesak. JavaScript cuba memaksa mod skrin penuh, manakala kod tambahan cuba menyekat kekunci melarikan diri biasa, termasuk Escape, F11, F5 dan F12, untuk memerangkap pengguna dalam kemas kini palsu.
Walaupun begitu, ralat pelaksanaan membolehkan Escape dan F11 masih berfungsi, memberikan pengguna jalan keluar yang mungkin.
Inti dari penipuan terletak pada arahan yang dipaparkan kepada mangsa: buka dialog Windows Run, tampal perintah yang dipra-salin dan laksanakannya. Mengikuti langkah ini melancarkan muatan berniat jahat dan memulakan kompromi.
Penguasaan ClickFix dan Evolusi Serangan
Aktiviti gaya ClickFix telah meningkat dengan ketara, kini mewakili hampir separuh daripada peristiwa akses awal yang didokumenkan. Secara tradisinya, ancaman sedemikian menyamar sebagai semakan CAPTCHA atau gesaan penyelesaian masalah. Kempen JackFix menandakan peralihan ke arah gewang yang lebih mengasyikkan dan seperti sistem, menunjukkan cara penyerang terus memperhalusi manipulasi psikologi untuk mencapai pelaksanaan kod dibantu pengguna.
Kekeliruan Berlapis dan Penghantaran Muatan Dicetuskan Perintah
Perintah pertama yang dilaksanakan pada mesin mangsa memanfaatkan mshta.exe untuk menjalankan muatan MSHTA yang mengandungi JavaScript. Skrip ini memanggil arahan PowerShell yang mendapatkan semula peringkat PowerShell lain daripada pelayan jauh. Untuk mengelakkan penelitian, domain yang berkaitan mengubah hala ke tapak yang tidak berbahaya seperti Google atau Steam apabila diakses secara manual. Hanya permintaan yang dibuat melalui arahan PowerShell tertentu, seperti irm atau iwr, mencetuskan tindak balas berniat jahat, menambah halangan analisis yang ketara.
Skrip PowerShell yang dimuat turun termasuk kebingungan berat: kod sampah, logik tersembunyi dan semakan yang bertujuan untuk menghalang kejuruteraan terbalik. Ia juga mencuba peningkatan keistimewaan dan menambahkan pengecualian antivirus yang terikat pada titik akhir C2 dan direktori pementasan.
Peningkatan Keistimewaan Paksa dan Penggunaan Muatan
Peningkatan keistimewaan diteruskan menggunakan cmdlet Mula‑Proses dengan parameter -Verb RunAs, berulang kali menggesa mangsa sehingga hak pentadbiran diberikan. Setelah dinaikkan, skrip menggunakan komponen tambahan, selalunya trojan akses jauh ringan yang direka untuk menghubungi pelayan C2 dan mengambil perisian hasad selanjutnya.
Arsenal Pelbagai Pencuri dan Pemuat
Malware telah diperhatikan menghantar sehingga lapan muatan yang berbeza, termasuk:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- Pemuat dan RAT lain digunakan untuk melancarkan ancaman susulan
Hanya satu pelaksanaan yang berjaya sudah cukup untuk menjejaskan data sensitif. Mangsa menghadapi kehilangan kelayakan, pegangan kripto dan maklumat peribadi lain. Pemuat tertentu juga membolehkan penyerang melanjutkan pencerobohan dengan perisian hasad yang lebih kuat, meningkatkan kesan dengan ketara.
