ज्याकफिक्स मालवेयर अभियान

हालै गरिएको एक अनुसन्धानले क्लिकफिक्स-शैलीको सामाजिक इन्जिनियरिङको शोषण गर्दै आक्रमणहरूको बढ्दो लहरलाई प्रकाश पार्छ। यी योजनाहरूले पीडितहरूलाई हानिकारक आदेशहरू आफैं कार्यान्वयन गर्न मनाउनमा भर पर्छन्, प्रायः चरणबद्ध प्राविधिक प्रम्प्टहरू मार्फत। पछिल्लो अपरेशनले नक्कली वयस्क वेबसाइटहरू र नक्कली विन्डोज अपडेट सूचनाहरूसँग जोडेर यो रणनीतिलाई अझ अगाडि बढाउँछ, अत्यधिक हेरफेर गर्ने संक्रमण श्रृंखला सुरक्षा टोलीहरू गठन गर्दछ जसलाई ज्याकफिक्स भनिन्छ।

प्रवेश बिन्दुको रूपमा वयस्क-थीम फिसिङ पोर्टलहरू

यो अभियान मालवर्टाइजिङ र अन्य रिडिरेक्ट प्रविधिहरू मार्फत डेलिभर गरिएका प्रख्यात प्लेटफर्महरू जस्तै बनाइएका धोखाधडी वयस्क साइटहरूबाट सुरु हुन्छ। जब प्रयोगकर्ताहरू यी पृष्ठहरूमा पुग्छन्, तिनीहरूले द्रुत रूपमा एक महत्वपूर्ण विन्डोज सुरक्षा सूचनाको रूपमा फ्रेम गरिएको तत्काल अपडेट सन्देशको सामना गर्छन्। वयस्क विषयवस्तुले मनोवैज्ञानिक दबाबलाई बढाउँछ, अचानक अपडेट प्रम्प्टलाई प्रशंसनीय बनाउँछ र प्रयोगकर्ताहरूलाई यसको प्रामाणिकतामाथि प्रश्न उठाउन निरुत्साहित गर्छ।

यी साइटहरूका केही भेरियन्टहरूमा रूसी भाषामा विकासकर्ता टिप्पणीहरू छन्, जसले रूसी भाषी खतरा समूहसँग सम्भावित सम्बन्धको सुझाव दिन्छ।

भ्रामक पूर्ण-स्क्रिन अपडेट अलर्टहरू

एक पटक आगन्तुकले दुष्ट पृष्ठसँग अन्तर्क्रिया गरेपछि, HTML र JavaScript कम्पोनेन्टहरूले तुरुन्तै Windows अपडेट संवादको पूर्ण-स्क्रिन नक्कल सुरु गर्छन्। इन्टरफेसले नीलो पृष्ठभूमि र साधारण सेतो पाठ प्रयोग गर्दछ, उच्च-जरुरी प्रणाली सन्देशहरूको शैली प्रतिध्वनि गर्दै। JavaScript ले पूर्ण-स्क्रिन मोडलाई जबरजस्ती गर्ने प्रयास गर्दछ, जबकि अतिरिक्त कोडले प्रयोगकर्तालाई नक्कली अपडेट भित्र फसाउन Escape, F11, F5, र F12 सहित सामान्य एस्केप कुञ्जीहरू ब्लक गर्ने प्रयास गर्दछ।
यसको बावजुद, कार्यान्वयन त्रुटिहरूले Escape र F11 लाई अझै पनि कार्य गर्न अनुमति दिन्छ, जसले गर्दा प्रयोगकर्ताहरूलाई सम्भावित बाहिर निस्कने बाटो मिल्छ।

छलको मूल कुरा पीडितलाई देखाइने निर्देशनहरूमा निहित छ: विन्डोज रन संवाद खोल्नुहोस्, पहिले नै प्रतिलिपि गरिएको आदेश टाँस्नुहोस्, र यसलाई कार्यान्वयन गर्नुहोस्। यी चरणहरू पछ्याउँदा दुर्भावनापूर्ण पेलोड सुरु हुन्छ र सम्झौता सुरु हुन्छ।

क्लिकफिक्स प्रभुत्व र आक्रमणको विकास

क्लिकफिक्स-शैली गतिविधि तीव्र रूपमा बढेको छ, जुन अब दस्तावेज गरिएको प्रारम्भिक पहुँच घटनाहरूको लगभग आधा प्रतिनिधित्व गर्दछ। परम्परागत रूपमा, त्यस्ता खतराहरूले CAPTCHA जाँचहरू वा समस्या निवारण प्रम्प्टहरूको प्रतिरूपण गर्छन्। ज्याकफिक्स अभियानले थप इमर्सिभ र प्रणाली-जस्तै प्रलोभनहरू तर्फ एक परिवर्तनलाई चिन्ह लगाउँछ, जसले देखाउँछ कि आक्रमणकारीहरूले प्रयोगकर्ता-सहायता प्राप्त कोड कार्यान्वयन प्राप्त गर्न कसरी मनोवैज्ञानिक हेरफेरलाई निरन्तर परिष्कृत गर्छन्।

तहगत अस्पष्टता र आदेश-ट्रिगर गरिएको पेलोड डेलिभरी

पीडितको मेसिनमा कार्यान्वयन गरिएको पहिलो आदेशले mshta.exe लाई JavaScript भएको MSHTA पेलोड चलाउन प्रयोग गर्छ। यो स्क्रिप्टले PowerShell आदेशलाई कल गर्छ जसले रिमोट सर्भरबाट अर्को PowerShell चरण पुन: प्राप्त गर्दछ। छानबिनबाट बच्नको लागि, म्यानुअल रूपमा पहुँच गर्दा सम्बन्धित डोमेनहरू Google वा Steam जस्ता हानिरहित साइटहरूमा रिडिरेक्ट हुन्छन्। irm वा iwr जस्ता विशिष्ट PowerShell आदेशहरू मार्फत गरिएका अनुरोधहरूले मात्र दुर्भावनापूर्ण प्रतिक्रिया ट्रिगर गर्छ, जसले महत्त्वपूर्ण विश्लेषण अवरोध थप्छ।

डाउनलोड गरिएको PowerShell स्क्रिप्टमा भारी अस्पष्टता समावेश छ: जंक कोड, लुकेको तर्क, र रिभर्स इन्जिनियरिङलाई बाधा पुर्‍याउने जाँचहरू। यसले विशेषाधिकार वृद्धिको पनि प्रयास गर्दछ र C2 अन्त्य बिन्दुहरू र स्टेजिङ निर्देशिकाहरूमा बाँधिएका एन्टिभाइरस बहिष्करणहरू थप्छ।

जबरजस्ती विशेषाधिकार वृद्धि र पेलोड तैनाती

विशेषाधिकार वृद्धि -Verb RunAs प्यारामिटरको साथ Start-Process cmdlet प्रयोग गरेर पछ्याइन्छ, जसले प्रशासनिक अधिकारहरू प्रदान नगरेसम्म पीडितलाई बारम्बार प्रोम्प्ट गर्दछ। एक पटक माथि उठेपछि, स्क्रिप्टले थप कम्पोनेन्टहरू तैनाथ गर्दछ, प्रायः C2 सर्भरलाई सम्पर्क गर्न र थप मालवेयर ल्याउन डिजाइन गरिएको हल्का रिमोट एक्सेस ट्रोजनहरू।

चोरी गर्ने र लोड गर्नेहरूको विविध शस्त्रागार

मालवेयरले आठ फरक पेलोडहरू डेलिभर गरेको अवलोकन गरिएको छ, जसमा समावेश छन्:

• राडामन्थिस स्टिलर, विदार स्टिलर २.०, रेडलाइन स्टिलर, अमाडे
• फलो-अन धम्कीहरू स्टेज गर्न प्रयोग गरिने अन्य लोडरहरू र RATs

संवेदनशील डेटालाई जोखिममा पार्न केवल एक सफल कार्यान्वयन पर्याप्त हुन्छ। पीडितहरूले प्रमाणपत्रहरू, क्रिप्टो होल्डिंगहरू, र अन्य व्यक्तिगत जानकारी गुमाउने सामना गर्छन्। केही लोडरहरूले आक्रमणकारीहरूलाई अझ शक्तिशाली मालवेयरको साथ घुसपैठ विस्तार गर्न सक्षम बनाउँछन्, जसले प्रभावलाई उल्लेखनीय रूपमा बढाउँछ।