Campanha de malware JackFix
Uma investigação recente destaca uma onda crescente de ataques que exploram a engenharia social do tipo ClickFix. Esses esquemas dependem de convencer as vítimas a executar comandos maliciosos por conta própria, frequentemente por meio de instruções técnicas simuladas. A operação mais recente leva essa tática adiante, combinando-a com sites adultos falsos e notificações de atualização do Windows falsificadas, formando uma cadeia de infecção altamente manipuladora que as equipes de segurança apelidaram de JackFix.
Índice
Portais de phishing com conteúdo adulto como ponto de entrada
A campanha começa com sites fraudulentos para adultos, criados para se assemelharem a plataformas conhecidas, distribuídos por meio de malvertising e outras técnicas de redirecionamento. Quando os usuários acessam essas páginas, são imediatamente confrontados com uma mensagem de atualização urgente, apresentada como uma notificação crítica de segurança do Windows. O tema adulto amplifica a pressão psicológica, fazendo com que o aviso repentino de atualização pareça plausível e desencorajando os usuários a questionarem sua autenticidade.
Algumas variantes desses sites contêm comentários dos desenvolvedores em russo, sugerindo uma possível ligação com um grupo de ameaças de língua russa.
Alertas enganosos de atualização em tela cheia
Assim que um visitante interage com a página maliciosa, componentes HTML e JavaScript iniciam instantaneamente uma imitação em tela cheia de uma caixa de diálogo de atualização do Windows. A interface usa um fundo azul e texto branco simples, reproduzindo o estilo de mensagens de sistema de alta urgência. O JavaScript tenta forçar o modo de tela cheia, enquanto um código adicional tenta bloquear as teclas de escape comuns, incluindo Escape, F11, F5 e F12, para prender o usuário dentro da atualização falsa.
Apesar disso, erros de implementação permitem que as teclas Escape e F11 ainda funcionem, oferecendo aos usuários uma possível saída.
O cerne do engano reside nas instruções exibidas à vítima: abra a caixa de diálogo Executar do Windows, cole um comando pré-copiado e execute-o. Seguindo esses passos, o malware é lançado e a invasão é iniciada.
Domínio do ClickFix e a Evolução do Ataque
A atividade do tipo ClickFix aumentou drasticamente, representando agora quase metade dos eventos de acesso inicial documentados. Tradicionalmente, essas ameaças se passam por verificações CAPTCHA ou prompts de solução de problemas. A campanha JackFix marca uma mudança para iscas mais imersivas e semelhantes a sistemas, mostrando como os atacantes refinam continuamente a manipulação psicológica para obter a execução de código assistida pelo usuário.
Ofuscação em camadas e entrega de carga útil acionada por comando
O primeiro comando executado na máquina da vítima utiliza o mshta.exe para executar um payload MSHTA contendo JavaScript. Esse script chama um comando do PowerShell que recupera outro estágio do PowerShell de um servidor remoto. Para evitar a detecção, os domínios associados redirecionam para sites inofensivos como Google ou Steam quando acessados manualmente. Somente as solicitações feitas por meio de comandos específicos do PowerShell, como irm ou iwr, acionam a resposta maliciosa, adicionando uma barreira significativa à análise.
O script PowerShell baixado inclui forte ofuscação: código inútil, lógica oculta e verificações destinadas a dificultar a engenharia reversa. Ele também tenta escalonar privilégios e adiciona exclusões de antivírus vinculadas a endpoints de comando e controle (C2) e diretórios de preparação.
Escalada de privilégios forçada e implantação de payload
A elevação de privilégios é realizada usando o cmdlet Start-Process com o parâmetro -Verb RunAs, solicitando repetidamente à vítima a permissão administrativa até que os direitos sejam concedidos. Uma vez com privilégios elevados, o script implanta componentes adicionais, geralmente trojans de acesso remoto leves projetados para contatar um servidor C2 e obter mais malware.
Um arsenal diversificado de ladrões e carregadores
Foi observado que o malware distribuía até oito cargas úteis distintas, incluindo:
- Ladrão de Radamanto, Ladrão de Vidar 2.0, Ladrão de Linha Vermelha, Amadey
- Outros carregadores e RATs usados para preparar ameaças subsequentes
Uma única execução bem-sucedida é suficiente para comprometer dados sensíveis. As vítimas correm o risco de perder credenciais, criptomoedas e outras informações pessoais. Certos carregadores também permitem que os invasores estendam a intrusão com malware mais potente, aumentando significativamente o impacto.
