Kampanja za zaščito pred zlonamerno programsko opremo JackFix
Nedavna preiskava izpostavlja naraščajoči val napadov, ki izkoriščajo socialni inženiring v slogu ClickFixa. Te sheme se zanašajo na prepričevanje žrtev, da same izvajajo škodljive ukaze, pogosto z vnaprej pripravljenimi tehničnimi pozivi. Najnovejša operacija to taktiko še bolj popelje naprej, saj jo združuje z lažnimi spletnimi mesti za odrasle in ponarejenimi obvestili o posodobitvah sistema Windows, s čimer tvori zelo manipulativno verigo okužb, ki so jo varnostne ekipe poimenovale JackFix.
Kazalo
Portali za lažno predstavljanje z vsebino za odrasle kot vstopna točka
Kampanja se začne z goljufivimi spletnimi mesti za odrasle, ki so oblikovana tako, da spominjajo na znane platforme, in se dostavljajo prek zlonamernega oglaševanja in drugih tehnik preusmerjanja. Ko uporabniki pristanejo na teh straneh, se hitro soočijo s sporočilom o nujni posodobitvi, ki je predstavljeno kot ključno varnostno obvestilo sistema Windows. Tema za odrasle poveča psihološki pritisk, zaradi česar se nenadna zahteva po posodobitvi zdi verjetna in uporabnike odvrača od dvomov o njeni pristnosti.
Nekatere različice teh spletnih mest vsebujejo opombe razvijalcev v ruščini, kar nakazuje na morebitno povezavo z rusko govorečo skupino za grožnje.
Zavajajoča opozorila o posodobitvah v celozaslonskem načinu
Ko obiskovalec enkrat komunicira z lažno stranjo, komponente HTML in JavaScript takoj zaženejo celozaslonsko imitacijo pogovornega okna za posodobitev sistema Windows. Vmesnik uporablja modro ozadje in preprosto belo besedilo, kar posnema slog sistemskih sporočil visoke nujnosti. JavaScript poskuša vsiliti celozaslonski način, dodatna koda pa poskuša blokirati običajne tipke za pobeg, vključno s tipkami Escape, F11, F5 in F12, da bi uporabnika ujela v lažno posodobitev.
Kljub temu napake pri implementaciji omogočajo delovanje tipk Escape in F11, kar uporabnikom ponuja možen izhod.
Bistvo prevare je v navodilih, ki se prikažejo žrtvi: odprite pogovorno okno Zaženi v sistemu Windows, prilepite vnaprej kopiran ukaz in ga izvedite. Po teh korakih se zažene zlonamerna programska oprema in sproži ogrožanje.
Prevlada ClickFixa in razvoj napada
Aktivnost v slogu ClickFix se je močno povečala in zdaj predstavlja skoraj polovico dokumentiranih dogodkov prvega dostopa. Tradicionalno se takšne grožnje izdajajo za preverjanja CAPTCHA ali pozive za odpravljanje težav. Kampanja JackFix označuje premik k bolj poglobljenim in sistemskim vabam, ki prikazujejo, kako napadalci nenehno izpopolnjujejo psihološko manipulacijo, da bi dosegli izvajanje kode s pomočjo uporabnika.
Večplastno zakrivanje in dostava koristnega tovora s sproženjem ukazov
Prvi ukaz, izveden na računalniku žrtve, uporabi mshta.exe za zagon koristnega tovora MSHTA, ki vsebuje JavaScript. Ta skript pokliče ukaz PowerShell, ki pridobi drugo stopnjo PowerShell z oddaljenega strežnika. Da bi se izognile nadzoru, povezane domene pri ročnem dostopu preusmerijo na neškodljiva spletna mesta, kot sta Google ali Steam. Zlonamerni odziv sprožijo le zahteve, opravljene prek določenih ukazov PowerShell, kot sta irm ali iwr, kar doda znatno oviro za analizo.
Preneseni skript PowerShell vsebuje močno zatemnitev: neželeno kodo, skrito logiko in preverjanja, namenjena oviranju obratnega inženiringa. Prav tako poskuša stopnjevati privilegije in dodaja protivirusne izključitve, vezane na končne točke C2 in pripravljalne imenike.
Prisilna eskalacija privilegijev in uvajanje koristnega tovora
Dvig privilegijev se izvede z ukazom »StartProcess« s parametrom -Verb RunAs, ki žrtev večkrat pozove, dokler ji niso dodeljene skrbniške pravice. Ko so privilegiji povišani, skript namesti dodatne komponente, pogosto lahke trojanske konje za oddaljeni dostop, namenjene stiku s strežnikom C2 in pridobivanju nadaljnje zlonamerne programske opreme.
Raznolik arzenal tatov in nakladalcev
Zlonamerna programska oprema je bila opažena pri dostavi do osem različnih koristnih tovorov, vključno z:
- Rhadamanthysov tat, Vidarjev tat 2.0, RedLineov tat, Amadey
- Drugi nalagalniki in RAT-i, ki se uporabljajo za pripravo nadaljnjih groženj
Že ena uspešna izvedba je dovolj, da ogrozi občutljive podatke. Žrtve se soočajo z izgubo poverilnic, kriptovalut in drugih osebnih podatkov. Nekateri nalagalniki napadalcem omogočajo tudi, da vdor razširijo z močnejšo zlonamerno programsko opremo, kar znatno poveča vpliv.
