JackFix-kampanje for skadelig programvare
En fersk etterforskning fremhever en økende bølge av angrep som utnytter ClickFix-lignende sosial manipulering. Disse ordningene er avhengige av å overbevise ofrene om å utføre skadelige kommandoer selv, ofte gjennom iscenesatte tekniske forespørsler. Den siste operasjonen tar denne taktikken videre ved å kombinere den med falske nettsteder for voksne og forfalskede Windows-oppdateringsvarsler, og danner en svært manipulerende infeksjonskjede som sikkerhetsteam har kalt JackFix.
Innholdsfortegnelse
Phishing-portaler med voksent tema som inngangspunkt
Kampanjen starter med falske nettsteder for voksne som er laget for å ligne kjente plattformer, levert gjennom skadelig annonsering og andre omdirigeringsteknikker. Når brukere lander på disse sidene, blir de raskt konfrontert med en hastemelding om oppdatering innrammet som et kritisk Windows-sikkerhetsvarsel. Temaet for voksne forsterker det psykologiske presset, noe som gjør den plutselige oppdateringsmeldingen troverdig og fraråder brukere å stille spørsmål ved dens autentisitet.
Noen varianter av disse nettstedene inneholder utviklerkommentarer på russisk, noe som antyder en mulig forbindelse til en russisktalende trusselgruppe.
Villedende varsler om fullskjermoppdateringer
Når en besøkende samhandler med den falske siden, starter HTML- og JavaScript-komponenter umiddelbart en fullskjermsimitasjon av en Windows-oppdateringsdialog. Grensesnittet bruker en blå bakgrunn og enkel hvit tekst, som gjenspeiler stilen til systemmeldinger med høy hast. JavaScript prøver å tvinge frem fullskjermmodus, mens tilleggskode prøver å blokkere vanlige escape-taster, inkludert Escape, F11, F5 og F12, for å fange brukeren i den falske oppdateringen.
Til tross for dette, tillater implementeringsfeil at Escape og F11 fortsatt fungerer, noe som gir brukerne en mulig utvei.
Kjernen i bedraget ligger i instruksjonene som vises til offeret: åpne Windows Kjør-dialogboks, lim inn en forhåndskopiert kommando og utfør den. Ved å følge disse trinnene startes den skadelige nyttelasten og initieres kompromitteringen.
ClickFix-dominans og angrepets utvikling
ClickFix-lignende aktivitet har økt kraftig og representerer nå nesten halvparten av dokumenterte førstegangs tilgangshendelser. Tradisjonelt sett utgir slike trusler seg for å være CAPTCHA-sjekker eller feilsøkingsforespørsler. JackFix-kampanjen markerer et skifte mot mer immersive og systemlignende lokkemidler, og viser hvordan angripere kontinuerlig forbedrer psykologisk manipulasjon for å oppnå brukerassistert kodekjøring.
Lagdelt obfuskering og kommandoutløst levering av nyttelast
Den første kommandoen som ble utført på offerets maskin, utnytter mshta.exe til å kjøre en MSHTA-nyttelast som inneholder JavaScript. Dette skriptet kaller en PowerShell-kommando som henter et annet PowerShell-trinn fra en ekstern server. For å unngå gransking omdirigerer de tilknyttede domenene til ufarlige nettsteder som Google eller Steam når de åpnes manuelt. Bare forespørsler gjort via spesifikke PowerShell-kommandoer, for eksempel irm eller iwr, utløser den ondsinnede responsen, noe som legger til en betydelig analysebarriere.
Det nedlastede PowerShell-skriptet inneholder mye obfuskasjon: søppelkode, skjult logikk og sjekker som er ment å hindre reverse engineering. Det forsøker også rettighetseskalering og legger til antivirus-ekskluderinger knyttet til C2-endepunkter og staging-kataloger.
Tvungen privilegiumskalering og nyttelastdistribusjon
Rettighetsheving forfølges ved hjelp av cmdleten Start-Process med parameteren -Verb RunAs, som gjentatte ganger ber offeret inntil administratorrettigheter er gitt. Når skriptet er hevet, distribuerer det tilleggskomponenter, ofte lette trojanere for fjerntilgang som er designet for å kontakte en C2-server og hente ytterligere skadelig programvare.
Et mangfoldig arsenal av stjelere og lastere
Skadevaren har blitt observert og leverer opptil åtte forskjellige nyttelaster, inkludert:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- Andre lastere og RAT-er brukt til å iscenesette oppfølgingstrusler
Bare én vellykket utførelse er nok til å sette sensitive data i fare. Ofrene risikerer tap av legitimasjon, kryptobeholdninger og annen personlig informasjon. Enkelte lasteprogrammer lar også angripere utvide inntrengingen med kraftigere skadelig programvare, noe som eskalerer virkningen betydelig.
