Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Campania de malware JackFix

Campania de malware JackFix

Până în Mezo în Programe malware
Tradu in:

O investigație recentă evidențiază un val tot mai mare de atacuri care exploatează ingineria socială în stil ClickFix. Aceste scheme se bazează pe convingerea victimelor să execute singure comenzi dăunătoare, adesea prin solicitări tehnice puse în scenă. Cea mai recentă operațiune duce această tactică mai departe, combinând-o cu site-uri web false pentru adulți și notificări de actualizare Windows contrafăcute, formând un lanț de infecții extrem de manipulativ pe care echipele de securitate l-au numit JackFix.

Portaluri de phishing cu tematică pentru adulți ca punct de intrare

Campania începe cu site-uri frauduloase pentru adulți, create pentru a semăna cu platforme cunoscute, livrate prin intermediul publicității malware și al altor tehnici de redirecționare. Când utilizatorii ajung pe aceste pagini, se confruntă rapid cu un mesaj de actualizare urgentă, încadrat ca o notificare critică de securitate Windows. Tema pentru adulți amplifică presiunea psihologică, făcând ca solicitarea bruscă de actualizare să pară plauzibilă și descurajând utilizatorii să pună la îndoială autenticitatea acesteia.

Unele variante ale acestor site-uri conțin observații ale dezvoltatorilor în limba rusă, sugerând o posibilă legătură cu un grup de amenințări vorbitor de limbă rusă.

Alerte de actualizare înșelătoare pe ecran complet

Odată ce un vizitator interacționează cu pagina falsă, componentele HTML și JavaScript lansează instantaneu o imitație pe ecran complet a unei casete de dialog de actualizare Windows. Interfața folosește un fundal albastru și text alb simplu, reflectând stilul mesajelor de sistem de înaltă urgență. JavaScript încearcă să forțeze modul ecran complet, în timp ce cod suplimentar încearcă să blocheze tastele Escape comune, inclusiv Escape, F11, F5 și F12, pentru a prinde utilizatorul în actualizarea falsă.
În ciuda acestui fapt, erorile de implementare permit tastelor Escape și F11 să funcționeze în continuare, oferind utilizatorilor o posibilă cale de ieșire.

Esența înșelăciunii constă în instrucțiunile afișate victimei: deschideți caseta de dialog Executare Windows, lipiți o comandă precopiată și executați-o. Urmând acești pași, se lansează sarcina utilă rău intenționată și se inițiază compromiterea.

Dominanța ClickFix și evoluția atacului

Activitatea de tip ClickFix a crescut brusc, reprezentând acum aproape jumătate din evenimentele de acces inițial documentate. În mod tradițional, astfel de amenințări se prefac a fi verificări CAPTCHA sau solicitări de depanare. Campania JackFix marchează o trecere către momeli mai imersive și asemănătoare sistemului, arătând cum atacatorii rafinează continuu manipularea psihologică pentru a realiza execuția de cod asistată de utilizator.

Obfuscare stratificată și livrare de sarcină utilă declanșată de comandă

Prima comandă executată pe mașina victimei utilizează mshta.exe pentru a rula o utilă MSHTA care conține JavaScript. Acest script apelează o comandă PowerShell care preia o altă etapă PowerShell de pe un server la distanță. Pentru a evita controlul, domeniile asociate redirecționează către site-uri inofensive precum Google sau Steam atunci când sunt accesate manual. Doar solicitările făcute prin comenzi PowerShell specifice, cum ar fi irm sau iwr, declanșează răspunsul rău intenționat, adăugând o barieră semnificativă în analiză.

Scriptul PowerShell descărcat include o ofuscare complexă: cod nedorit, logică ascunsă și verificări menite să împiedice ingineria inversă. De asemenea, încearcă escaladarea privilegiilor și adaugă excluderi antivirus legate de endpoint-urile C2 și directoarele de staging.

Escaladarea forțată a privilegiilor și implementarea sarcinii utile

Creșterea privilegiilor se realizează folosind cmdletul Start-Process cu parametrul -Verb RunAs, solicitând în mod repetat victimei până când i se acordă drepturile administrative. Odată ce privilegiile sunt ridicate, scriptul implementează componente suplimentare, adesea troieni ușori de acces la distanță, concepuți să contacteze un server C2 și să preia alte programe malware.

Un arsenal divers de hoți și încărcători

S-a observat că malware-ul transmite până la opt sarcini distincte, inclusiv:

  • Hoțul lui Rhadamanthys, Hoțul lui Vidar 2.0, Hoțul de RedLine, Amadey
  • Alte încărcătoare și RAT-uri folosite pentru a pune în scenă amenințări ulterioare

O singură execuție reușită este suficientă pentru a pune în pericol datele sensibile. Victimele se confruntă cu pierderea acreditărilor, a stocurilor criptografice și a altor informații personale. De asemenea, anumite programe de încărcare permit atacatorilor să extindă intruziunea cu programe malware mai puternice, escaladând semnificativ impactul.

Trending

UPS - Acțiune necesară pentru escrocheria privind...

phishing, Spam
Infractorii cibernetici își deghizează în mod obișnuit campaniile de phishing în actualizări de livrare, iar escrocheria UPS – Acțiune necesară pentru expedierea dvs. este un exemplu excelent. Deși pare să provină de la un curier de încredere, nu este asociată cu nicio companie, organizație sau furnizor de servicii legitim. E-mailurile imită notificări de expediere reale pentru a păcăli...

Înșelătorie privind autorizarea livrării mesajelor

phishing, Spam
Infractorii cibernetici continuă să se bazeze pe momeli credibile prin e-mail pentru a păcăli destinatarii să ofere informații sensibile. Unul dintre cele mai recente exemple este escrocheria „Message Delivery Authorization Required” (Această este o escrocherie cu autorizare necesară pentru livrarea mesajelor), o operațiune concepută pentru a imita notificările obișnuite din inbox și a manipula...

Cele mai văzute

Se încarcă...