ஜாக்ஃபிக்ஸ் தீம்பொருள் பிரச்சாரம்
ClickFix பாணி சமூக பொறியியலை சுரண்டிக்கொண்டு தாக்குதல்கள் அதிகரித்து வருவதை சமீபத்திய விசாரணை எடுத்துக்காட்டுகிறது. இந்தத் திட்டங்கள் பாதிக்கப்பட்டவர்களைத் தாங்களாகவே தீங்கு விளைவிக்கும் கட்டளைகளை செயல்படுத்த நம்ப வைப்பதை நம்பியுள்ளன, பெரும்பாலும் படிப்படியாக தொழில்நுட்பத் தூண்டுதல்கள் மூலம். சமீபத்திய செயல்பாடு இந்த தந்திரோபாயத்தை போலி வயதுவந்தோர் வலைத்தளங்கள் மற்றும் போலியான Windows புதுப்பிப்பு அறிவிப்புகளுடன் இணைப்பதன் மூலம் மேலும் எடுத்துச் செல்கிறது, இது மிகவும் கையாளக்கூடிய தொற்று சங்கிலியை உருவாக்குகிறது, பாதுகாப்பு குழுக்கள் JackFix என்று பெயரிட்டுள்ளன.
பொருளடக்கம்
நுழைவுப் புள்ளியாக வயது வந்தோர் கருப்பொருள் ஃபிஷிங் போர்டல்கள்
இந்த பிரச்சாரம், நன்கு அறியப்பட்ட தளங்களைப் போலவே வடிவமைக்கப்பட்ட மோசடியான வயதுவந்தோர் தளங்களுடன் தொடங்குகிறது, இது தீங்கிழைக்கும் விளம்பரம் மற்றும் பிற வழிமாற்று நுட்பங்கள் மூலம் வழங்கப்படுகிறது. பயனர்கள் இந்தப் பக்கங்களில் இறங்கும்போது, ஒரு முக்கியமான விண்டோஸ் பாதுகாப்பு அறிவிப்பாக வடிவமைக்கப்பட்ட அவசர புதுப்பிப்பு செய்தியை அவர்கள் விரைவாக எதிர்கொள்கிறார்கள். வயதுவந்தோர் கருப்பொருள் உளவியல் அழுத்தத்தை அதிகரிக்கிறது, திடீர் புதுப்பிப்பு தூண்டுதலை நம்பத்தகுந்ததாகத் தோன்றுகிறது மற்றும் பயனர்கள் அதன் நம்பகத்தன்மையை கேள்விக்குள்ளாக்குவதை ஊக்கப்படுத்துகிறது.
இந்த தளங்களின் சில வகைகள் ரஷ்ய மொழியில் டெவலப்பர் கருத்துக்களைக் கொண்டுள்ளன, இது ரஷ்ய மொழி பேசும் அச்சுறுத்தல் குழுவுடன் சாத்தியமான தொடர்பைக் குறிக்கிறது.
ஏமாற்றும் முழுத்திரை புதுப்பிப்பு எச்சரிக்கைகள்
ஒரு பார்வையாளர் முரட்டுப் பக்கத்துடன் தொடர்பு கொண்டவுடன், HTML மற்றும் JavaScript கூறுகள் உடனடியாக Windows புதுப்பிப்பு உரையாடலின் முழுத்திரை பிரதிபலிப்பைத் தொடங்குகின்றன. இடைமுகம் நீல பின்னணி மற்றும் எளிய வெள்ளை உரையைப் பயன்படுத்துகிறது, இது உயர்-அவசர அமைப்பு செய்திகளின் பாணியை எதிரொலிக்கிறது. JavaScript முழுத்திரை பயன்முறையை கட்டாயப்படுத்த முயற்சிக்கிறது, அதே நேரத்தில் கூடுதல் குறியீடு Escape, F11, F5 மற்றும் F12 உள்ளிட்ட பொதுவான எஸ்கேப் விசைகளைத் தடுக்க முயற்சிக்கிறது, இதனால் பயனரை போலி புதுப்பிப்பில் சிக்க வைக்கிறது.
இதுபோன்ற போதிலும், செயல்படுத்தல் பிழைகள் எஸ்கேப் மற்றும் F11 இன்னும் செயல்பட அனுமதிக்கின்றன, இதனால் பயனர்களுக்கு ஒரு சாத்தியமான வழி கிடைக்கிறது.
ஏமாற்றுதலின் சாராம்சம் பாதிக்கப்பட்டவருக்குக் காட்டப்படும் வழிமுறைகளில் உள்ளது: விண்டோஸ் ரன் உரையாடலைத் திறந்து, முன் நகலெடுக்கப்பட்ட கட்டளையை ஒட்டவும், அதை இயக்கவும். இந்த வழிமுறைகளைப் பின்பற்றுவது தீங்கிழைக்கும் பேலோடைத் துவக்கி சமரசத்தைத் தொடங்குகிறது.
தாக்குதலின் ஆதிக்கத்தையும் பரிணாமத்தையும் சரிசெய்ய கிளிக் செய்யவும்.
ClickFix பாணி செயல்பாடு கூர்மையாக அதிகரித்துள்ளது, இப்போது ஆவணப்படுத்தப்பட்ட ஆரம்ப அணுகல் நிகழ்வுகளில் கிட்டத்தட்ட பாதியைக் குறிக்கிறது. பாரம்பரியமாக, இத்தகைய அச்சுறுத்தல்கள் CAPTCHA சோதனைகள் அல்லது சரிசெய்தல் தூண்டுதல்களைப் போல ஆள்மாறாட்டம் செய்கின்றன. JackFix பிரச்சாரம், மிகவும் ஆழமான மற்றும் அமைப்பு போன்ற கவர்ச்சிகளை நோக்கிய மாற்றத்தைக் குறிக்கிறது, பயனர் உதவியுடன் குறியீடு செயல்படுத்தலை அடைய தாக்குபவர்கள் தொடர்ந்து உளவியல் கையாளுதலை எவ்வாறு செம்மைப்படுத்துகிறார்கள் என்பதைக் காட்டுகிறது.
அடுக்கு தெளிவின்மை மற்றும் கட்டளை-தூண்டப்பட்ட பேலோட் டெலிவரி
பாதிக்கப்பட்டவரின் கணினியில் செயல்படுத்தப்படும் முதல் கட்டளை, ஜாவாஸ்கிரிப்ட் கொண்ட MSHTA பேலோடை இயக்க mshta.exe ஐப் பயன்படுத்துகிறது. இந்த ஸ்கிரிப்ட் ஒரு பவர்ஷெல் கட்டளையை அழைக்கிறது, இது ஒரு தொலை சேவையகத்திலிருந்து மற்றொரு பவர்ஷெல் கட்டத்தை மீட்டெடுக்கிறது. ஆய்வு செய்வதைத் தவிர்க்க, தொடர்புடைய டொமைன்கள் கைமுறையாக அணுகும்போது கூகிள் அல்லது ஸ்டீம் போன்ற பாதிப்பில்லாத தளங்களுக்கு திருப்பி விடப்படுகின்றன. irm அல்லது iwr போன்ற குறிப்பிட்ட பவர்ஷெல் கட்டளைகள் வழியாக செய்யப்படும் கோரிக்கைகள் மட்டுமே தீங்கிழைக்கும் பதிலைத் தூண்டுகின்றன, இது ஒரு குறிப்பிடத்தக்க பகுப்பாய்வுத் தடையைச் சேர்க்கிறது.
பதிவிறக்கம் செய்யப்பட்ட பவர்ஷெல் ஸ்கிரிப்ட்டில் கடுமையான குழப்பங்கள் உள்ளன: குப்பை குறியீடு, மறைக்கப்பட்ட தர்க்கம் மற்றும் தலைகீழ் பொறியியலைத் தடுக்கும் சோதனைகள். இது சலுகை விரிவாக்கத்தையும் முயற்சிக்கிறது மற்றும் C2 எண்ட்பாயிண்ட்கள் மற்றும் ஸ்டேஜிங் டைரக்டரிகளுடன் இணைக்கப்பட்ட வைரஸ் தடுப்பு விலக்குகளைச் சேர்க்கிறது.
கட்டாய சலுகை அதிகரிப்பு மற்றும் சுமை வரிசைப்படுத்தல்
-Verb RunAs அளவுருவுடன் Start‑Process cmdlet ஐப் பயன்படுத்தி சிறப்புரிமை மேம்பாடு தொடரப்படுகிறது, நிர்வாக உரிமைகள் வழங்கப்படும் வரை பாதிக்கப்பட்டவரை மீண்டும் மீண்டும் கேட்கும். உயர்த்தப்பட்டவுடன், ஸ்கிரிப்ட் கூடுதல் கூறுகளை வரிசைப்படுத்துகிறது, பெரும்பாலும் C2 சேவையகத்தைத் தொடர்புகொண்டு மேலும் தீம்பொருளைப் பெற வடிவமைக்கப்பட்ட இலகுரக தொலைநிலை அணுகல் ட்ரோஜான்கள்.
திருடர்கள் மற்றும் ஏற்றிகளின் மாறுபட்ட ஆயுதக் களஞ்சியம்
இந்த தீம்பொருள் எட்டு தனித்துவமான பேலோடுகளை வழங்குவது கண்டறியப்பட்டுள்ளது, அவற்றுள்:
- ராடமந்திஸ் ஸ்டீலர், விதார் ஸ்டீலர் 2.0, ரெட்லைன் ஸ்டீலர், அமேடி
- பின்தொடர் அச்சுறுத்தல்களை அரங்கேற்றப் பயன்படுத்தப்படும் பிற ஏற்றிகள் மற்றும் RATகள்
முக்கியமான தரவுகளுக்கு ஆபத்தை விளைவிக்க ஒரே ஒரு வெற்றிகரமான செயலாக்கம் போதுமானது. பாதிக்கப்பட்டவர்கள் நற்சான்றிதழ்கள், கிரிப்டோ ஹோல்டிங்ஸ் மற்றும் பிற தனிப்பட்ட தகவல்களை இழக்க நேரிடும். சில லோடர்கள் தாக்குபவர்களுக்கு அதிக சக்திவாய்ந்த தீம்பொருள் மூலம் ஊடுருவலை நீட்டிக்க உதவுகின்றன, இதனால் தாக்கம் கணிசமாக அதிகரிக்கிறது.
