Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносная кампания JackFix

Вредоносная кампания JackFix

К Mezo году в Вредоносное ПО году
Перевести на:

Недавнее расследование выявило растущую волну атак с использованием социальной инженерии в стиле ClickFix. Эти схемы основаны на убеждении жертв самостоятельно выполнять вредоносные команды, часто с помощью постановочных технических подсказок. Последняя операция развивает эту тактику, сочетая её с поддельными сайтами для взрослых и поддельными уведомлениями об обновлениях Windows, формируя крайне манипулятивную цепочку заражения, которую специалисты по безопасности окрестили JackFix.

Фишинговые порталы для взрослых как точка входа

Кампания начинается с мошеннических сайтов для взрослых, имитирующих известные платформы, которые распространяются с помощью вредоносной рекламы и других методов перенаправления. Попав на эти страницы, пользователи быстро сталкиваются с сообщением о срочном обновлении, оформленным как критическое уведомление системы безопасности Windows. Тематика для взрослых усиливает психологическое давление, создавая впечатление правдоподобности внезапного запроса на обновление и отбивая у пользователей желание усомниться в его подлинности.

Некоторые варианты этих сайтов содержат комментарии разработчиков на русском языке, что указывает на возможную связь с русскоязычной группой угроз.

Обманчивые полноэкранные оповещения об обновлениях

Как только посетитель взаимодействует с вредоносной страницей, компоненты HTML и JavaScript мгновенно запускают полноэкранную имитацию диалогового окна обновления Windows. Интерфейс использует синий фон и простой белый текст, отсылая к стилю срочных системных сообщений. JavaScript пытается принудительно перейти в полноэкранный режим, в то время как дополнительный код пытается блокировать распространённые клавиши Escape, включая Escape, F11, F5 и F12, чтобы заманить пользователя в ловушку поддельного обновления.
Несмотря на это, ошибки реализации позволяют клавишам Escape и F11 по-прежнему функционировать, предоставляя пользователям возможный выход.

Суть обмана заключается в инструкциях, отображаемых жертве: открыть диалоговое окно «Выполнить» Windows, вставить предварительно скопированную команду и выполнить её. Выполнение этих действий запускает вредоносную нагрузку и инициирует взлом.

Доминирование ClickFix и эволюция атаки

Активность атак типа ClickFix резко возросла, составляя почти половину всех задокументированных случаев первоначального доступа. Традиционно такие угрозы имитируют проверки CAPTCHA или запросы на устранение неполадок. Кампания JackFix знаменует собой переход к более иммерсивным и системным приманкам, демонстрируя, как злоумышленники постоянно совершенствуют психологические манипуляции, чтобы добиться выполнения кода с участием пользователя.

Многоуровневая обфускация и доставка полезной нагрузки по команде

Первая команда, выполняемая на компьютере жертвы, использует mshta.exe для запуска полезной нагрузки MSHTA, содержащей JavaScript. Этот скрипт вызывает команду PowerShell, которая извлекает другой этап PowerShell с удалённого сервера. Чтобы избежать проверки, связанные домены перенаправляют на безобидные сайты, такие как Google или Steam, при ручном доступе. Вредоносный ответ активируется только при запросах, выполненных с помощью определённых команд PowerShell, таких как irm или iwr, что значительно затрудняет анализ.

Загруженный скрипт PowerShell содержит серьёзную обфускацию: ненужный код, скрытую логику и проверки, призванные препятствовать реверс-инжинирингу. Он также пытается повысить привилегии и добавляет исключения антивируса, привязанные к конечным точкам C2 и промежуточным каталогам.

Принудительное повышение привилегий и развертывание полезной нагрузки

Повышение привилегий достигается с помощью командлета Start‑Process с параметром -Verb RunAs, который многократно запрашивает у жертвы права администратора. После получения прав скрипт развертывает дополнительные компоненты, часто легковесные трояны удалённого доступа, предназначенные для связи с командным сервером и загрузки дополнительных вредоносных программ.

Разнообразный арсенал краж и погрузчиков

Было замечено, что вредоносное ПО может доставлять до восьми различных полезных нагрузок, включая:

  • Радамантис-Крадусник, Видар-Крадусник 2.0, Редлайн-Крадусник, Амадей
  • Другие загрузчики и RAT, используемые для постановки последующих угроз

Одного успешного выполнения достаточно, чтобы поставить под угрозу конфиденциальные данные. Жертвы рискуют потерять учётные данные, криптовалютные активы и другую личную информацию. Некоторые загрузчики также позволяют злоумышленникам расширить атаку, используя более мощное вредоносное ПО, что значительно усиливает последствия.

В тренде

UPS — Необходимые действия в случае мошенничества с...

Фишинг, Спам
Киберпреступники регулярно маскируют свои фишинговые кампании под уведомления о доставке, и мошенничество «UPS – Требуется действие для вашей отправки» – яркий тому пример. Хотя оно выглядит так, будто отправляется доверенной курьерской службой, оно не связано ни с какими легитимными компаниями, организациями или поставщиками услуг. Эти письма имитируют настоящие уведомления об отправке, чтобы...

Мошенничество с требованием авторизации доставки...

Фишинг, Спам
Киберпреступники продолжают использовать правдоподобные электронные письма-приманки, чтобы обманным путём заставить получателей раскрыть конфиденциальную информацию. Одним из последних примеров является мошенничество с требованием авторизации доставки сообщений (Message Delivery Authorization Required Scam) – операция, имитирующая стандартные уведомления входящих сообщений и вынуждающая...

Наиболее просматриваемые

Загрузка...