JackFix Malware Campaign

ਇੱਕ ਤਾਜ਼ਾ ਜਾਂਚ ਵਿੱਚ ClickFix-ਸ਼ੈਲੀ ਦੀ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ ਹਮਲਿਆਂ ਦੀ ਵੱਧ ਰਹੀ ਲਹਿਰ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਯੋਜਨਾਵਾਂ ਪੀੜਤਾਂ ਨੂੰ ਨੁਕਸਾਨਦੇਹ ਆਦੇਸ਼ਾਂ ਨੂੰ ਖੁਦ ਲਾਗੂ ਕਰਨ ਲਈ ਮਨਾਉਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ, ਅਕਸਰ ਸਟੇਜਡ ਤਕਨੀਕੀ ਪ੍ਰੋਂਪਟਾਂ ਰਾਹੀਂ। ਨਵੀਨਤਮ ਕਾਰਵਾਈ ਇਸ ਰਣਨੀਤੀ ਨੂੰ ਨਕਲੀ ਬਾਲਗ ਵੈੱਬਸਾਈਟਾਂ ਅਤੇ ਨਕਲੀ ਵਿੰਡੋਜ਼ ਅਪਡੇਟ ਨੋਟਿਸਾਂ ਨਾਲ ਜੋੜ ਕੇ ਹੋਰ ਅੱਗੇ ਲੈ ਜਾਂਦੀ ਹੈ, ਇੱਕ ਬਹੁਤ ਹੀ ਹੇਰਾਫੇਰੀ ਵਾਲੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਜੈਕਫਿਕਸ ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਬਾਲਗ-ਥੀਮ ਵਾਲੇ ਫਿਸ਼ਿੰਗ ਪੋਰਟਲ ਐਂਟਰੀ ਪੁਆਇੰਟ ਵਜੋਂ

ਇਹ ਮੁਹਿੰਮ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਬਾਲਗ ਸਾਈਟਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਮਸ਼ਹੂਰ ਪਲੇਟਫਾਰਮਾਂ ਵਾਂਗ ਬਣੀਆਂ ਹੁੰਦੀਆਂ ਹਨ, ਜੋ ਕਿ ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਅਤੇ ਹੋਰ ਰੀਡਾਇਰੈਕਟ ਤਕਨੀਕਾਂ ਰਾਹੀਂ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਇਹਨਾਂ ਪੰਨਿਆਂ 'ਤੇ ਆਉਂਦੇ ਹਨ, ਤਾਂ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਜ਼ਰੂਰੀ ਅੱਪਡੇਟ ਸੁਨੇਹੇ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ ਜੋ ਇੱਕ ਮਹੱਤਵਪੂਰਨ Windows ਸੁਰੱਖਿਆ ਸੂਚਨਾ ਦੇ ਰੂਪ ਵਿੱਚ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਬਾਲਗ ਥੀਮ ਮਨੋਵਿਗਿਆਨਕ ਦਬਾਅ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਅਚਾਨਕ ਅੱਪਡੇਟ ਪ੍ਰੋਂਪਟ ਨੂੰ ਵਿਸ਼ਵਾਸਯੋਗ ਲੱਗਦਾ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸਦੀ ਪ੍ਰਮਾਣਿਕਤਾ 'ਤੇ ਸਵਾਲ ਉਠਾਉਣ ਤੋਂ ਨਿਰਾਸ਼ ਕਰਦਾ ਹੈ।

ਇਹਨਾਂ ਸਾਈਟਾਂ ਦੇ ਕੁਝ ਰੂਪਾਂ ਵਿੱਚ ਰੂਸੀ ਵਿੱਚ ਡਿਵੈਲਪਰ ਟਿੱਪਣੀਆਂ ਹਨ, ਜੋ ਕਿ ਇੱਕ ਰੂਸੀ ਬੋਲਣ ਵਾਲੇ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਸੰਭਾਵਿਤ ਸਬੰਧ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ।

ਭਰਮਾਊ ਪੂਰੀ-ਸਕ੍ਰੀਨ ਅੱਪਡੇਟ ਚੇਤਾਵਨੀਆਂ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਕੋਈ ਵਿਜ਼ਟਰ ਠੱਗ ਪੰਨੇ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਤਾਂ HTML ਅਤੇ JavaScript ਕੰਪੋਨੈਂਟ ਤੁਰੰਤ ਇੱਕ Windows ਅੱਪਡੇਟ ਡਾਇਲਾਗ ਦੀ ਪੂਰੀ-ਸਕ੍ਰੀਨ ਨਕਲ ਲਾਂਚ ਕਰਦੇ ਹਨ। ਇੰਟਰਫੇਸ ਇੱਕ ਨੀਲੇ ਪਿਛੋਕੜ ਅਤੇ ਸਧਾਰਨ ਚਿੱਟੇ ਟੈਕਸਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਉੱਚ-ਜ਼ਰੂਰੀ ਸਿਸਟਮ ਸੁਨੇਹਿਆਂ ਦੀ ਸ਼ੈਲੀ ਨੂੰ ਗੂੰਜਦਾ ਹੈ। JavaScript ਪੂਰੀ-ਸਕ੍ਰੀਨ ਮੋਡ ਨੂੰ ਮਜਬੂਰ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਵਾਧੂ ਕੋਡ ਆਮ ਬਚਣ ਵਾਲੀਆਂ ਕੁੰਜੀਆਂ ਨੂੰ ਬਲਾਕ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ Escape, F11, F5, ਅਤੇ F12 ਸ਼ਾਮਲ ਹਨ, ਤਾਂ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਨਕਲੀ ਅੱਪਡੇਟ ਦੇ ਅੰਦਰ ਫਸਾਇਆ ਜਾ ਸਕੇ।
ਇਸ ਦੇ ਬਾਵਜੂਦ, ਲਾਗੂ ਕਰਨ ਦੀਆਂ ਗਲਤੀਆਂ Escape ਅਤੇ F11 ਨੂੰ ਅਜੇ ਵੀ ਕੰਮ ਕਰਨ ਦਿੰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਸੰਭਵ ਰਸਤਾ ਮਿਲਦਾ ਹੈ।

ਧੋਖੇ ਦੀ ਜੜ੍ਹ ਪੀੜਤ ਨੂੰ ਦਿਖਾਈਆਂ ਗਈਆਂ ਹਦਾਇਤਾਂ ਵਿੱਚ ਹੈ: ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਖੋਲ੍ਹੋ, ਪਹਿਲਾਂ ਤੋਂ ਕਾਪੀ ਕੀਤੀ ਕਮਾਂਡ ਪੇਸਟ ਕਰੋ, ਅਤੇ ਇਸਨੂੰ ਚਲਾਓ। ਇਹਨਾਂ ਕਦਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨ ਨਾਲ ਖਤਰਨਾਕ ਪੇਲੋਡ ਲਾਂਚ ਹੁੰਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ।

ਕਲਿਕਫਿਕਸ ਦਬਦਬਾ ਅਤੇ ਹਮਲੇ ਦਾ ਵਿਕਾਸ

ClickFix-ਸ਼ੈਲੀ ਦੀ ਗਤੀਵਿਧੀ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਵਾਧਾ ਹੋਇਆ ਹੈ, ਜੋ ਹੁਣ ਦਸਤਾਵੇਜ਼ੀ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਘਟਨਾਵਾਂ ਦੇ ਲਗਭਗ ਅੱਧੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਰਵਾਇਤੀ ਤੌਰ 'ਤੇ, ਅਜਿਹੇ ਖਤਰੇ CAPTCHA ਜਾਂਚਾਂ ਜਾਂ ਸਮੱਸਿਆ-ਨਿਪਟਾਰਾ ਪ੍ਰੋਂਪਟਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। JackFix ਮੁਹਿੰਮ ਵਧੇਰੇ ਇਮਰਸਿਵ ਅਤੇ ਸਿਸਟਮ-ਵਰਗੇ ਲਾਲਚਾਂ ਵੱਲ ਇੱਕ ਤਬਦੀਲੀ ਦੀ ਨਿਸ਼ਾਨਦੇਹੀ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਹਮਲਾਵਰ ਉਪਭੋਗਤਾ-ਸਹਾਇਤਾ ਪ੍ਰਾਪਤ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਮਨੋਵਿਗਿਆਨਕ ਹੇਰਾਫੇਰੀ ਨੂੰ ਕਿਵੇਂ ਲਗਾਤਾਰ ਸੁਧਾਰਦੇ ਹਨ।

ਲੇਅਰਡ ਔਫਸਕੇਸ਼ਨ ਅਤੇ ਕਮਾਂਡ-ਟਰਿੱਗਰਡ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਚਲਾਈ ਗਈ ਪਹਿਲੀ ਕਮਾਂਡ mshta.exe ਨੂੰ JavaScript ਵਾਲੇ MSHTA ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਵਰਤਦੀ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਇੱਕ PowerShell ਕਮਾਂਡ ਨੂੰ ਕਾਲ ਕਰਦੀ ਹੈ ਜੋ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਇੱਕ ਹੋਰ PowerShell ਪੜਾਅ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ। ਜਾਂਚ ਤੋਂ ਬਚਣ ਲਈ, ਸੰਬੰਧਿਤ ਡੋਮੇਨ ਹੱਥੀਂ ਐਕਸੈਸ ਕੀਤੇ ਜਾਣ 'ਤੇ Google ਜਾਂ Steam ਵਰਗੀਆਂ ਨੁਕਸਾਨ ਰਹਿਤ ਸਾਈਟਾਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਹੁੰਦੇ ਹਨ। ਸਿਰਫ਼ ਖਾਸ PowerShell ਕਮਾਂਡਾਂ, ਜਿਵੇਂ ਕਿ irm ਜਾਂ iwr, ਦੁਆਰਾ ਕੀਤੀਆਂ ਗਈਆਂ ਬੇਨਤੀਆਂ, ਖਤਰਨਾਕ ਜਵਾਬ ਨੂੰ ਚਾਲੂ ਕਰਦੀਆਂ ਹਨ, ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ਲੇਸ਼ਣ ਰੁਕਾਵਟ ਜੋੜਦੀਆਂ ਹਨ।

ਡਾਊਨਲੋਡ ਕੀਤੀ PowerShell ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਭਾਰੀ ਗੁੰਝਲਦਾਰਤਾ ਸ਼ਾਮਲ ਹੈ: ਜੰਕ ਕੋਡ, ਲੁਕਿਆ ਹੋਇਆ ਤਰਕ, ਅਤੇ ਰਿਵਰਸ ਇੰਜੀਨੀਅਰਿੰਗ ਨੂੰ ਰੋਕਣ ਲਈ ਜਾਂਚਾਂ। ਇਹ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਦੀ ਵੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ ਅਤੇ C2 ਐਂਡਪੁਆਇੰਟ ਅਤੇ ਸਟੇਜਿੰਗ ਡਾਇਰੈਕਟਰੀਆਂ ਨਾਲ ਜੁੜੇ ਐਂਟੀਵਾਇਰਸ ਐਕਸਕਲੂਜ਼ਨ ਜੋੜਦਾ ਹੈ।

ਜ਼ਬਰਦਸਤੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣਾ ਅਤੇ ਪੇਲੋਡ ਤੈਨਾਤੀ

ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਲਈ Start‑Process cmdlet ਦੀ ਵਰਤੋਂ -Verb RunAs ਪੈਰਾਮੀਟਰ ਨਾਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਪੀੜਤ ਨੂੰ ਵਾਰ-ਵਾਰ ਉਦੋਂ ਤੱਕ ਪ੍ਰੇਰਿਤ ਕਰਦੀ ਹੈ ਜਦੋਂ ਤੱਕ ਪ੍ਰਸ਼ਾਸਕੀ ਅਧਿਕਾਰ ਨਹੀਂ ਦਿੱਤੇ ਜਾਂਦੇ। ਇੱਕ ਵਾਰ ਉੱਚਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਸਕ੍ਰਿਪਟ ਵਾਧੂ ਭਾਗਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ, ਅਕਸਰ ਹਲਕੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਜੋ ਇੱਕ C2 ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਅਤੇ ਹੋਰ ਮਾਲਵੇਅਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਚੋਰੀ ਕਰਨ ਵਾਲਿਆਂ ਅਤੇ ਲੋਡਰਾਂ ਦਾ ਇੱਕ ਵਿਭਿੰਨ ਹਥਿਆਰਬੰਦ ਸਮੂਹ

ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਅੱਠ ਵੱਖ-ਵੱਖ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਾਡਾਮੈਂਥਿਸ ਸਟੀਲਰ, ਵਿਦਰ ਸਟੀਲਰ 2.0, ਰੈੱਡਲਾਈਨ ਸਟੀਲਰ, ਅਮਾਡੇ
• ਹੋਰ ਲੋਡਰ ਅਤੇ RATs ਫਾਲੋ-ਆਨ ਧਮਕੀਆਂ ਦੇਣ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਸਨ

ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਖਤਰੇ ਵਿੱਚ ਪਾਉਣ ਲਈ ਸਿਰਫ਼ ਇੱਕ ਸਫਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਾਫ਼ੀ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ, ਕ੍ਰਿਪਟੋ ਹੋਲਡਿੰਗਜ਼ ਅਤੇ ਹੋਰ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਦੇ ਨੁਕਸਾਨ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ। ਕੁਝ ਲੋਡਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਵਧੇਰੇ ਸ਼ਕਤੀਸ਼ਾਲੀ ਮਾਲਵੇਅਰ ਨਾਲ ਘੁਸਪੈਠ ਵਧਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਪ੍ਰਭਾਵ ਕਾਫ਼ੀ ਵਧ ਜਾਂਦਾ ਹੈ।