Kampaň proti škodlivému softvéru JackFix
Nedávne vyšetrovanie poukazuje na rastúcu vlnu útokov využívajúcich sociálne inžinierstvo v štýle ClickFix. Tieto schémy sa spoliehajú na presviedčanie obetí, aby samy vykonali škodlivé príkazy, často prostredníctvom zinscenovaných technických pokynov. Najnovšia operácia posúva túto taktiku ďalej tým, že ju kombinuje s falošnými webovými stránkami pre dospelých a falšovanými oznámeniami o aktualizáciách systému Windows, čím vytvára vysoko manipulatívny reťazec infekcií, ktorý bezpečnostné tímy nazvali JackFix.
Obsah
Phishingové portály s tematikou pre dospelých ako vstupný bod
Kampaň začína podvodnými stránkami pre dospelých, ktoré sú vytvorené tak, aby pripomínali známe platformy, a sú zobrazované prostredníctvom škodlivej reklamy a iných techník presmerovania. Keď sa používatelia dostanú na tieto stránky, rýchlo sa im zobrazí správa o urgentnej aktualizácii, ktorá je zarámovaná ako kritické bezpečnostné upozornenie systému Windows. Téma pre dospelých zosilňuje psychologický tlak, vďaka čomu sa náhla výzva na aktualizáciu javí ako vierohodná a odrádza používateľov od spochybňovania jej pravosti.
Niektoré varianty týchto stránok obsahujú poznámky vývojárov v ruštine, čo naznačuje možné prepojenie s rusky hovoriacou skupinou hrozby.
Klamlivé upozornenia na aktualizácie na celej obrazovke
Keď návštevník interaguje s falošnou stránkou, komponenty HTML a JavaScript okamžite spustia imitáciu dialógového okna aktualizácie systému Windows na celej obrazovke. Rozhranie používa modré pozadie a jednoduchý biely text, ktorý odráža štýl systémových správ s vysokou naliehavosťou. JavaScript sa pokúša vynútiť režim celej obrazovky, zatiaľ čo ďalší kód sa pokúša blokovať bežné klávesy Escape vrátane Escape, F11, F5 a F12, aby uväznil používateľa v rámci falošnej aktualizácie.
Napriek tomu chyby v implementácii umožňujú klávesom Escape a F11 stále fungovať, čo používateľom poskytuje možnú cestu von.
Podstata podvodu spočíva v pokynoch zobrazených obeti: otvorte dialógové okno Spustiť vo Windowse, vložte vopred skopírovaný príkaz a spustite ho. Po vykonaní týchto krokov sa spustí škodlivý balík a iniciuje sa kompromitácia.
Dominancia ClickFixu a vývoj útoku
Aktivita v štýle ClickFix prudko vzrástla a v súčasnosti predstavuje takmer polovicu zdokumentovaných udalostí prvého prístupu. Tradične sa takéto hrozby vydávajú za kontroly CAPTCHA alebo výzvy na riešenie problémov. Kampaň JackFix predstavuje posun smerom k pohlcujúcejším a systémovým návnadám a ukazuje, ako útočníci neustále zdokonaľujú psychologickú manipuláciu, aby dosiahli vykonávanie kódu s pomocou používateľa.
Vrstvené zmätenie a doručovanie užitočného zaťaženia spúšťané príkazmi
Prvý príkaz vykonaný na počítači obete využíva súbor mshta.exe na spustenie užitočného zaťaženia MSHTA obsahujúceho JavaScript. Tento skript volá príkaz PowerShellu, ktorý načíta ďalšiu fázu PowerShellu zo vzdialeného servera. Aby sa predišlo kontrole, pridružené domény pri manuálnom prístupe presmerujú na neškodné stránky ako Google alebo Steam. Škodlivú odpoveď spúšťajú iba požiadavky vykonané prostredníctvom špecifických príkazov PowerShellu, ako napríklad irm alebo iwr, čo predstavuje významnú bariéru pre analýzu.
Stiahnutý PowerShellový skript obsahuje rozsiahle obfuskačné prvky: nežiaduci kód, skrytú logiku a kontroly, ktoré majú brániť reverznému inžinierstvu. Taktiež sa pokúša o eskaláciu privilégií a pridáva antivírusové výnimky viazané na koncové body C2 a pracovné adresáre.
Vynútená eskalácia privilégií a nasadenie užitočného zaťaženia
Zvýšenie privilégií sa vykonáva pomocou cmdletu Start-Process s parametrom -Verb RunAs, ktorý opakovane vyzýva obeť, kým jej nie sú udelené administrátorské práva. Po zvýšení privilégií skript nasadí ďalšie komponenty, často ľahké trójske kone pre vzdialený prístup, ktoré sú určené na kontaktovanie servera C2 a načítanie ďalšieho malvéru.
Rozmanitý arzenál zlodejov a nakladačov
Bolo pozorované, že malvér doručuje až osem rôznych dátových súborov vrátane:
- Zlodej Rhadamanthys, Zlodej Vidar 2.0, Zlodej RedLine, Amadey
- Iné načítavače a RAT-y používané na prípravu následných hrozieb
Stačí už len jedno úspešné spustenie na ohrozenie citlivých údajov. Obeťam hrozí strata prihlasovacích údajov, kryptomien a ďalších osobných údajov. Niektoré zavádzacie programy tiež umožňujú útočníkom rozšíriť prienik o silnejší malvér, čím sa výrazne zvyšuje dopad.
