Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware JackFix Malware Campagne

JackFix Malware Campagne

Tegen Mezo in Malware
Vertalen naar:

Een recent onderzoek brengt een groeiende golf van aanvallen aan het licht die misbruik maken van social engineering in de stijl van ClickFix. Deze methoden zijn gebaseerd op het overtuigen van slachtoffers om zelf schadelijke opdrachten uit te voeren, vaak via geënsceneerde technische prompts. De nieuwste operatie gaat nog een stap verder door deze te combineren met nepwebsites voor volwassenen en valse Windows-updatemeldingen, waardoor een zeer manipulatieve infectieketen ontstaat die beveiligingsteams JackFix hebben genoemd.

Phishingportals met een volwassen thema als toegangspunt

De campagne begint met frauduleuze websites voor volwassenen die lijken op bekende platforms en die worden verspreid via malvertising en andere omleidingstechnieken. Wanneer gebruikers op deze pagina's terechtkomen, worden ze direct geconfronteerd met een dringend updatebericht, gepresenteerd als een kritieke Windows-beveiligingsmelding. Het thema voor volwassenen versterkt de psychologische druk, waardoor de plotselinge updatemelding geloofwaardig lijkt en gebruikers worden afgeschrikt om de authenticiteit ervan in twijfel te trekken.

Sommige varianten van deze sites bevatten opmerkingen van ontwikkelaars in het Russisch, wat suggereert dat er mogelijk sprake is van een connectie met een Russischtalige bedreigingsgroep.

Misleidende waarschuwingen voor updates op volledig scherm

Zodra een bezoeker de malafide pagina opent, openen HTML- en JavaScript-componenten direct een schermvullende imitatie van een Windows-updatedialoog. De interface gebruikt een blauwe achtergrond en eenvoudige witte tekst, in de stijl van urgente systeemmeldingen. JavaScript probeert de modus voor volledig scherm af te dwingen, terwijl aanvullende code probeert veelgebruikte escape-toetsen, zoals Escape, F11, F5 en F12, te blokkeren om de gebruiker in de nep-update te vangen.
Desondanks zorgen implementatiefouten ervoor dat Escape en F11 nog steeds functioneren, wat gebruikers een mogelijke uitweg biedt.

De kern van de misleiding schuilt in de instructies die aan het slachtoffer worden getoond: open het Windows-venster Uitvoeren, plak een vooraf gekopieerde opdracht in het bestand en voer deze uit. Door deze stappen te volgen, wordt de schadelijke payload gestart en de hack geïnitieerd.

ClickFix Dominantie en de evolutie van de aanval

De activiteit in ClickFix-stijl is sterk toegenomen en vertegenwoordigt nu bijna de helft van de gedocumenteerde initiële toegangsgebeurtenissen. Traditioneel imiteren dergelijke bedreigingen CAPTCHA-controles of probleemoplossingsprompts. De JackFix-campagne markeert een verschuiving naar meer immersieve en systeemachtige lokkertjes en laat zien hoe aanvallers voortdurend psychologische manipulatie verfijnen om gebruikersondersteunde code-uitvoering te realiseren.

Gelaagde verduistering en opdrachtgestuurde payloadlevering

De eerste opdracht die op de computer van het slachtoffer wordt uitgevoerd, maakt gebruik van mshta.exe om een MSHTA-payload met JavaScript uit te voeren. Dit script roept een PowerShell-opdracht aan die een andere PowerShell-fase van een externe server ophaalt. Om controle te ontlopen, verwijzen de bijbehorende domeinen door naar onschadelijke sites zoals Google of Steam wanneer ze handmatig worden geopend. Alleen verzoeken via specifieke PowerShell-opdrachten, zoals irm of iwr, activeren de kwaadaardige reactie, wat een aanzienlijke analysebarrière oplevert.

Het gedownloade PowerShell-script bevat zware verduistering: ongewenste code, verborgen logica en controles die bedoeld zijn om reverse engineering te voorkomen. Het probeert ook privilege-escalatie en voegt antivirusuitsluitingen toe die gekoppeld zijn aan C2-eindpunten en staging-directory's.

Gedwongen privilege-escalatie en payload-implementatie

Privilege-upgrade wordt nagestreefd met behulp van de Start-Process-cmdlet met de parameter -Verb RunAs, waarbij het slachtoffer herhaaldelijk wordt gevraagd om beheerdersrechten te verlenen. Zodra de privileges zijn verhoogd, implementeert het script aanvullende componenten, vaak lichtgewicht trojans voor externe toegang die zijn ontworpen om contact te maken met een C2-server en verdere malware op te halen.

Een divers arsenaal aan dieven en laders

Er is waargenomen dat de malware maximaal acht verschillende payloads aflevert, waaronder:

  • Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
  • Andere laders en RAT's worden gebruikt om vervolgbedreigingen in scène te zetten

Slechts één succesvolle aanval is voldoende om gevoelige gegevens in gevaar te brengen. Slachtoffers lopen het risico inloggegevens, cryptobestanden en andere persoonlijke informatie te verliezen. Bepaalde loaders stellen aanvallers bovendien in staat om de aanval uit te breiden met krachtigere malware, waardoor de impact aanzienlijk toeneemt.

Trending

Meest bekeken

Bezig met laden...