Rabattoffert för flera licenser
Hotdatabas Skadlig programvara JackFix-kampanj mot skadlig kod

JackFix-kampanj mot skadlig kod

Med Mezo år Skadlig programvara
Översätt till:

En nyligen genomförd utredning belyser en växande våg av attacker som utnyttjar social ingenjörskonst i ClickFix-stil. Dessa system förlitar sig på att övertyga offren att själva utföra skadliga kommandon, ofta genom iscensatta tekniska uppmaningar. Den senaste operationen tar denna taktik ett steg längre genom att para ihop den med falska webbplatser för vuxna och förfalskade meddelanden om Windows-uppdateringar, vilket skapar en mycket manipulativ infektionskedja som säkerhetsteam har döpt till JackFix.

Nätfiskeportaler med vuxentema som ingångspunkt

Kampanjen börjar med bedrägliga vuxenwebbplatser som är utformade för att likna välkända plattformar, levererade genom skadlig annonsering och andra omdirigeringstekniker. När användare landar på dessa sidor konfronteras de snabbt med ett brådskande uppdateringsmeddelande utformat som ett kritiskt Windows-säkerhetsmeddelande. Vuxentemat förstärker den psykologiska pressen, vilket gör att den plötsliga uppdateringsfrågan verkar trovärdig och avskräcker användare från att ifrågasätta dess äkthet.

Vissa varianter av dessa webbplatser innehåller utvecklarkommentarer på ryska, vilket tyder på en möjlig koppling till en rysktalande hotgrupp.

Vilseledande uppdateringsvarningar i helskärm

När en besökare interagerar med den falska sidan startar HTML- och JavaScript-komponenter direkt en helskärmsimitation av en Windows-uppdateringsdialogruta. Gränssnittet använder en blå bakgrund och enkel vit text, vilket påminner om högbrådskande systemmeddelanden. JavaScript försöker tvinga fram helskärmsläge, medan ytterligare kod försöker blockera vanliga escape-tangenter, inklusive Escape, F11, F5 och F12, för att fånga användaren i den falska uppdateringen.
Trots detta gör implementeringsfel att Escape och F11 fortfarande fungerar, vilket ger användarna en möjlig utväg.

Kärnan i bedrägeriet ligger i instruktionerna som visas för offret: öppna Windows Kör-dialogruta, klistra in ett förkopierat kommando och kör det. Genom att följa dessa steg startas den skadliga nyttolasten och initieras komprometteringen.

ClickFix-dominans och attackens utveckling

Aktivitet i ClickFix-stil har ökat kraftigt och representerar nu nästan hälften av de dokumenterade initiala åtkomsthändelserna. Traditionellt sett utger sig sådana hot för att vara CAPTCHA-kontroller eller felsökningsuppmaningar. JackFix-kampanjen markerar ett skifte mot mer immersiva och systemliknande lockbete, vilket visar hur angripare kontinuerligt förfinar psykologisk manipulation för att uppnå användarassisterad kodkörning.

Skiktad obfuskation och kommandoutlöst nyttolastleverans

Det första kommandot som körs på offrets dator använder mshta.exe för att köra en MSHTA-nyttolast som innehåller JavaScript. Skriptet anropar ett PowerShell-kommando som hämtar ett annat PowerShell-steg från en fjärrserver. För att undvika granskning omdirigerar de associerade domänerna till ofarliga webbplatser som Google eller Steam när de öppnas manuellt. Endast förfrågningar som görs via specifika PowerShell-kommandon, som irm eller iwr, utlöser det skadliga svaret, vilket skapar ett betydande analyshinder.

Det nedladdade PowerShell-skriptet innehåller omfattande förvirring: skräpkod, dold logik och kontroller avsedda att hindra reverse engineering. Det försöker också eskalering av privilegier och lägger till antivirusundantag kopplade till C2-slutpunkter och staging-kataloger.

Tvingad privilegieeskalering och nyttolasteddistribution

Privilegisökning sker med hjälp av cmdlet:en Start-Process med parametern -Verb RunAs, vilket upprepade gånger uppmanar offret tills administratörsrättigheter beviljas. När skriptet har höjts distribuerar det ytterligare komponenter, ofta lätta fjärråtkomsttrojaner som är utformade för att kontakta en C2-server och hämta ytterligare skadlig kod.

En mångsidig arsenal av stjälare och laddare

Skadlig programvara har observerats leverera upp till åtta olika nyttolaster, inklusive:

  • Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
  • Andra laddare och RAT:er som används för att iscensätta uppföljningshot

Endast en lyckad körning räcker för att äventyra känsliga data. Offren riskerar att förlora inloggningsuppgifter, kryptoinnehav och annan personlig information. Vissa laddare gör det också möjligt för angripare att utöka intrånget med mer potent skadlig kod, vilket eskalerar effekten avsevärt.

Trendigt

UPS - Åtgärder krävs vid din försändelsebedrägeri

Nätfiske, Spam
Cyberbrottslingar döljer rutinmässigt sina nätfiskekampanjer som leveransuppdateringar, och UPS – Action Required for Your Shipment Scam är ett utmärkt exempel. Även om det verkar komma från en betrodd kurir är det inte kopplat till några legitima företag, organisationer eller tjänsteleverantörer. E-postmeddelandena imiterar riktiga leveransmeddelanden för att lura mottagare att avslöja känslig...

Mest sedda

Läser in...