Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Fushata e Malware-it JackFix

Fushata e Malware-it JackFix

Nga MezoMalware
Përkthe në:

Një hetim i kohëve të fundit nxjerr në pah një valë në rritje sulmesh që shfrytëzojnë inxhinierinë sociale në stilin ClickFix. Këto skema mbështeten në bindjen e viktimave për të ekzekutuar vetë komanda të dëmshme, shpesh përmes kërkesave teknike të inskenuara. Operacioni i fundit e çon këtë taktikë më tej duke e shoqëruar atë me faqe interneti të rreme për të rritur dhe njoftime të falsifikuara për përditësimet e Windows, duke formuar një zinxhir infeksioni shumë manipulues që ekipet e sigurisë e kanë quajtur JackFix.

Portalet e Phishing-ut me Temë për të Rritur si Pikë Hyrjeje

Fushata fillon me faqe mashtruese për të rritur, të krijuara për t'u ngjarë platformave të njohura, të ofruara përmes reklamave keqdashëse dhe teknikave të tjera të ridrejtimit. Kur përdoruesit arrijnë në këto faqe, ata përballen shpejt me një mesazh urgjent përditësimi të paraqitur si një njoftim kritik për sigurinë e Windows. Tema për të rritur amplifikon presionin psikologjik, duke e bërë kërkesën e papritur për përditësim të duket e besueshme dhe duke i dekurajuar përdoruesit të vënë në dyshim vërtetësinë e saj.

Disa variante të këtyre faqeve përmbajnë komente nga zhvilluesit në rusisht, duke sugjeruar një lidhje të mundshme me një grup kërcënimesh që flet rusisht.

Alarme Mashtruese për Përditësime në Ekran të Plotë

Sapo një vizitor bashkëvepron me faqen mashtruese, komponentët HTML dhe JavaScript menjëherë hapin një imitim në ekran të plotë të një dialogu për përditësimin e Windows. Ndërfaqja përdor një sfond blu dhe tekst të thjeshtë të bardhë, duke i bërë jehonë stilit të mesazheve të sistemit me urgjencë të lartë. JavaScript përpiqet të detyrojë modalitetin e ekranit të plotë, ndërsa kodi shtesë përpiqet të bllokojë tastet e zakonshme të daljes, duke përfshirë Escape, F11, F5 dhe F12, për ta zënë përdoruesin në kurth brenda përditësimit të rremë.
Pavarësisht kësaj, gabimet e implementimit lejojnë që Escape dhe F11 të vazhdojnë të funksionojnë, duke u dhënë përdoruesve një rrugëdalje të mundshme.

Thelbi i mashtrimit qëndron në udhëzimet që i shfaqen viktimës: hapni kutinë e dialogut Run të Windows, ngjisni një komandë të parakopjuar dhe ekzekutojeni atë. Ndjekja e këtyre hapave nis ngarkesën keqdashëse dhe fillon kompromentimin.

Dominimi i ClickFix dhe Evolucioni i Sulmit

Aktiviteti në stilin ClickFix është rritur ndjeshëm, duke përfaqësuar tani gati gjysmën e ngjarjeve të dokumentuara të aksesit fillestar. Tradicionalisht, kërcënime të tilla imitojnë kontrollet CAPTCHA ose kërkesat për zgjidhjen e problemeve. Fushata JackFix shënon një ndryshim drejt karremeve më gjithëpërfshirëse dhe të ngjashme me sistemin, duke treguar se si sulmuesit vazhdimisht përsosin manipulimin psikologjik për të arritur ekzekutimin e kodit të ndihmuar nga përdoruesi.

Mbulim i Shtresuar dhe Dorëzimi i Ngarkesës së Shkaktuar nga Komanda

Komanda e parë e ekzekutuar në makinën e viktimës përdor mshta.exe për të ekzekutuar një ngarkesë MSHTA që përmban JavaScript. Ky skript thërret një komandë PowerShell që merr një fazë tjetër PowerShell nga një server i largët. Për të shmangur shqyrtimin, domenet e lidhura ridrejtojnë në faqe të padëmshme si Google ose Steam kur aksesohen manualisht. Vetëm kërkesat e bëra nëpërmjet komandave specifike PowerShell, të tilla si irm ose iwr, shkaktojnë përgjigjen keqdashëse, duke shtuar një pengesë të konsiderueshme analize.

Skripti i shkarkuar PowerShell përfshin shumë bllokime: kod të padëshiruar, logjikë të fshehur dhe kontrolle që synojnë të pengojnë inxhinierinë e kundërt. Ai gjithashtu përpiqet të përshkallëzojë privilegjet dhe shton përjashtime antivirus të lidhura me pikat fundore C2 dhe drejtoritë e fazës.

Përshkallëzimi i Privilegjit të Detyruar dhe Vendosja e Ngarkesës

Rritja e privilegjit ndiqet duke përdorur cmdlet-in Start‑Process me parametrin -Verb RunAs, duke e nxitur vazhdimisht viktimën derisa të jepen të drejtat administrative. Pasi të jetë rritur, skripti vendos komponentë shtesë, shpesh trojanë të lehtë me qasje në distancë, të projektuar për të kontaktuar një server C2 dhe për të marrë më shumë programe keqdashëse.

Një Arsenal i Larmishëm Vjedhësish dhe Ngarkuesish

Malware është vërejtur duke shpërndarë deri në tetë ngarkesa të ndryshme, duke përfshirë:

  • Vjedhësi i Rhadamanthys, Vjedhësi i Vidar 2.0, Vjedhësi i RedLine, Amadey
  • Ngarkues dhe RAT të tjerë të përdorur për të organizuar kërcënime pasuese

Vetëm një ekzekutim i suksesshëm është i mjaftueshëm për të rrezikuar të dhëna të ndjeshme. Viktimat përballen me humbjen e kredencialeve, mbajtjeve të kriptovalutave dhe informacioneve të tjera personale. Disa ngarkues gjithashtu u mundësojnë sulmuesve të zgjerojnë ndërhyrjen me programe keqdashëse më të fuqishme, duke përshkallëzuar ndjeshëm ndikimin.

Në trend

UPS - Veprim i Kërkuar për Mashtrimin e Dërgesës Suaj

Fishing, Spam
Kriminelët kibernetikë i maskojnë rregullisht fushatat e tyre të phishing si përditësime të dërgesave, dhe mashtrimi UPS - Veprimi i Kërkuar për Dërgesën Tuaj është një shembull kryesor. Edhe pse duket se vjen nga një korrier i besuar, ai nuk është i lidhur me asnjë kompani, organizatë apo ofrues shërbimesh legjitime. Emailet imitojnë njoftime të vërteta dërgesash për të mashtruar marrësit që...

Mashtrim i Kërkuar për Autorizim të Dërgimit të...

Fishing, Spam
Kriminelët kibernetikë vazhdojnë të mbështeten në karreme të besueshme me email për të mashtruar marrësit që të japin informacione të ndjeshme. Një nga shembujt më të fundit është Mashtrimi i Kërkuar për Autorizimin e Dorëzimit të Mesazhit, një operacion i projektuar për të imituar njoftimet rutinë të kutisë hyrëse dhe për të manipuluar përdoruesit që të dorëzojnë kredencialet e llogarisë së...

Më e shikuara

Po ngarkohet...