Kampania antywirusowa JackFix
Niedawne śledztwo ujawnia rosnącą falę ataków wykorzystujących socjotechnikę w stylu ClickFix. Oszustwa te polegają na nakłanianiu ofiar do samodzielnego wykonywania szkodliwych poleceń, często za pomocą ustawionych komunikatów technicznych. Najnowsza operacja rozwija tę taktykę, łącząc ją z fałszywymi witrynami dla dorosłych i fałszywymi powiadomieniami o aktualizacjach systemu Windows, tworząc wysoce manipulacyjny łańcuch infekcji, który zespoły ds. bezpieczeństwa nazwały JackFix.
Spis treści
Portale phishingowe o tematyce dla dorosłych jako punkt wejścia
Kampania rozpoczyna się od fałszywych stron dla dorosłych, stworzonych na wzór znanych platform, rozpowszechnianych za pomocą złośliwych reklam i innych technik przekierowań. Po wejściu na te strony użytkownicy szybko widzą komunikat o pilnej aktualizacji, przedstawiony jako krytyczne powiadomienie dotyczące bezpieczeństwa systemu Windows. Tematyka dla dorosłych wzmacnia presję psychologiczną, sprawiając, że nagły komunikat o aktualizacji wydaje się wiarygodny i zniechęca użytkowników do kwestionowania jego autentyczności.
Niektóre wersje tych witryn zawierają uwagi programistów w języku rosyjskim, co sugeruje możliwe powiązania z rosyjskojęzyczną grupą zagrożeń.
Mylące alerty aktualizacji na pełnym ekranie
Gdy użytkownik wejdzie w interakcję z nieuczciwą stroną, komponenty HTML i JavaScript natychmiast uruchamiają pełnoekranową imitację okna dialogowego aktualizacji systemu Windows. Interfejs wykorzystuje niebieskie tło i prosty biały tekst, nawiązując do stylu komunikatów systemowych o wysokim priorytecie. JavaScript próbuje wymusić tryb pełnoekranowy, a dodatkowy kod blokuje popularne klawisze Escape, takie jak Escape, F11, F5 i F12, aby uwięzić użytkownika w fałszywej aktualizacji.
Pomimo tego błędy implementacji sprawiają, że przyciski Escape i F11 nadal działają, dając użytkownikom potencjalne wyjście.
Sedno oszustwa tkwi w instrukcjach wyświetlanych ofierze: otwórz okno dialogowe Uruchom w systemie Windows, wklej skopiowane wcześniej polecenie i je wykonaj. Wykonanie tych kroków uruchamia złośliwy kod i inicjuje atak.
Dominacja ClickFix i ewolucja ataku
Aktywność w stylu ClickFix gwałtownie wzrosła, stanowiąc obecnie prawie połowę udokumentowanych zdarzeń początkowego dostępu. Tradycyjnie tego typu zagrożenia podszywają się pod testy CAPTCHA lub monity rozwiązywania problemów. Kampania JackFix oznacza przejście w kierunku bardziej immersyjnych i systemowych przynęt, pokazując, jak atakujący nieustannie udoskonalają psychologiczną manipulację, aby uzyskać wykonanie kodu wspomagane przez użytkownika.
Warstwowe zaciemnianie i dostarczanie danych wyzwalane poleceniami
Pierwsze polecenie wykonane na komputerze ofiary wykorzystuje plik mshta.exe do uruchomienia ładunku MSHTA zawierającego JavaScript. Ten skrypt wywołuje polecenie programu PowerShell, które pobiera kolejny etap programu PowerShell ze zdalnego serwera. Aby uniknąć kontroli, powiązane domeny przekierowują do nieszkodliwych witryn, takich jak Google czy Steam, po uzyskaniu dostępu ręcznego. Tylko żądania wysłane za pośrednictwem określonych poleceń programu PowerShell, takich jak irm lub iwr, wyzwalają złośliwą odpowiedź, co znacznie utrudnia analizę.
Pobrany skrypt programu PowerShell zawiera wiele elementów zaciemniających: niepotrzebny kod, ukrytą logikę i kontrole mające na celu utrudnienie inżynierii wstecznej. Próbuje on również eskalacji uprawnień i dodaje wykluczenia antywirusowe powiązane z punktami końcowymi C2 i katalogami przejściowymi.
Wymuszona eskalacja uprawnień i wdrażanie ładunku
Podniesienie uprawnień odbywa się za pomocą polecenia cmdlet Start‑Process z parametrem -Verb RunAs, które wielokrotnie wyświetla ofierze monity, aż do momentu przyznania uprawnień administratora. Po podniesieniu uprawnień skrypt wdraża dodatkowe komponenty, często lekkie trojany zdalnego dostępu, zaprojektowane do kontaktowania się z serwerem C2 i pobierania kolejnego złośliwego oprogramowania.
Różnorodny arsenał złodziei i ładowaczy
Zaobserwowano, że złośliwe oprogramowanie dostarcza aż osiem różnych ładunków, w tym:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- Inne ładowarki i RAT-y wykorzystywane do inscenizacji kolejnych zagrożeń
Wystarczy jedno udane uruchomienie, aby zagrozić wrażliwym danym. Ofiary mogą stracić dane uwierzytelniające, kryptowaluty i inne dane osobowe. Niektóre programy ładujące umożliwiają atakującym rozszerzenie włamania za pomocą bardziej zaawansowanego złośliwego oprogramowania, co znacznie zwiększa jego skutki.
