Кампања против злонамерног софтвера JackFix
Недавна истрага истиче растући талас напада који користе друштвени инжењеринг у стилу ClickFix-а. Ове шеме се ослањају на убеђивање жртава да саме извршавају штетне команде, често путем инсценираних техничких упутстава. Најновија операција иде даље ову тактику упарујући је са лажним веб-сајтовима за одрасле и фалсификованим обавештењима о ажурирањима за Windows, формирајући веома манипулативан ланац инфекције који су безбедносни тимови назвали JackFix.
Преглед садржаја
Фишинг портали са тематиком за одрасле као улазна тачка
Кампања почиње са лажним сајтовима за одрасле направљеним да личе на добро познате платформе, испоручених путем злонамерног оглашавања и других техника преусмеравања. Када корисници дођу на ове странице, брзо се суочавају са хитном поруком о ажурирању уоквиреном као критично безбедносно обавештење за Windows. Тема за одрасле појачава психолошки притисак, чинећи изненадни захтев за ажурирање вероватним и обесхрабрујући кориснике да преиспитају његову аутентичност.
Неке варијанте ових сајтова садрже коментаре програмера на руском језику, што сугерише могућу везу са претњом која говори руски језик.
Обмањујућа упозорења о ажурирањима преко целог екрана
Када посетилац ступи у интеракцију са лажном страницом, HTML и JavaScript компоненте одмах покрећу имитацију дијалога за ажурирање система Windows преко целог екрана. Интерфејс користи плаву позадину и једноставан бели текст, што подсећа на стил системских порука високе хитности. JavaScript покушава да присили режим целог екрана, док додатни код покушава да блокира уобичајене тастере за излаз, укључујући Escape, F11, F5 и F12, како би заробио корисника унутар лажног ажурирања.
Упркос томе, грешке у имплементацији омогућавају да Escape и F11 и даље функционишу, дајући корисницима могући излаз.
Суштина обмане лежи у упутствима која се приказују жртви: отворите дијалог „Покрени“ у систему Windows, налепите унапред копирану команду и извршите је. Праћење ових корака покреће злонамерни садржај и иницира компромитовање.
Доминација ClickFix-а и еволуција напада
Активност у стилу ClickFix-а је нагло порасла, сада представљајући скоро половину документованих почетних приступа. Традиционално, такве претње опонашају CAPTCHA провере или упите за решавање проблема. Кампања JackFix означава помак ка импресивнијим и системскијим мамацима, показујући како нападачи континуирано усавршавају психолошку манипулацију како би постигли извршавање кода уз помоћ корисника.
Слојевито замагљивање и испорука корисног терета активирана командом
Прва команда извршена на рачунару жртве користи mshta.exe за покретање MSHTA пакета који садржи JavaScript. Овај скрипт позива PowerShell команду која преузима другу PowerShell фазу са удаљеног сервера. Да би избегли контролу, повезани домени преусмеравају на безопасне сајтове попут Google-а или Steam-а када им се приступа ручно. Само захтеви направљени путем одређених PowerShell команди, као што су irm или iwr, покрећу злонамерни одговор, додајући значајну баријеру за анализу.
Преузета PowerShell скрипта садржи јако замагљивање: нежељени код, скривену логику и провере намењене спречавању обрнутог инжењеринга. Такође покушава ескалацију привилегија и додаје антивирусна изузећа везана за C2 крајње тачке и директоријуме за припрему.
Присилна ескалација привилегија и распоређивање корисног терета
Повећање привилегија се врши помоћу командлета Start‑Process са параметром -Verb RunAs, који више пута пита жртву док се не доделе администраторска права. Након повећања привилегија, скрипта распоређује додатне компоненте, често лагане тројанце за даљински приступ дизајниране да контактирају C2 сервер и преузму додатни малвер.
Разноврстан арсенал крадљиваца и пуњача
Примећено је да злонамерни софтвер испоручује до осам различитих корисних садржаја, укључујући:
- Крадљивац Радамантиса, Крадљивац Видара 2.0, Крадљивац РедЛајна, Амадеј
- Други учитавачи и RAT-ови коришћени за постављање накнадних претњи
Само једно успешно извршење је довољно да угрози осетљиве податке. Жртве се суочавају са губитком акредитива, криптовалута и других личних података. Одређени програми за учитавање такође омогућавају нападачима да прошире упад снажнијим злонамерним софтвером, значајно повећавајући утицај.
