แคมเปญมัลแวร์ JackFix

การสืบสวนเมื่อเร็วๆ นี้ชี้ให้เห็นถึงการโจมตีที่เพิ่มจำนวนขึ้นเรื่อยๆ ซึ่งใช้ประโยชน์จากวิศวกรรมสังคมแบบเดียวกับ ClickFix กลวิธีเหล่านี้อาศัยการโน้มน้าวเหยื่อให้ดำเนินการคำสั่งที่เป็นอันตรายด้วยตนเอง ซึ่งมักจะผ่านขั้นตอนทางเทคนิคที่จัดฉากไว้ ปฏิบัติการล่าสุดนี้ได้ขยายขอบเขตของกลวิธีนี้โดยจับคู่กับเว็บไซต์สำหรับผู้ใหญ่ปลอมและการแจ้งเตือนการอัปเดต Windows ปลอม ก่อให้เกิดห่วงโซ่การติดเชื้อที่ควบคุมอย่างแนบเนียน ซึ่งทีมรักษาความปลอดภัยตั้งชื่อให้ว่า JackFix

พอร์ทัลฟิชชิ่งสำหรับผู้ใหญ่เป็นจุดเริ่มต้น

แคมเปญเริ่มต้นด้วยเว็บไซต์สำหรับผู้ใหญ่หลอกลวงที่ออกแบบมาให้คล้ายกับแพลตฟอร์มชื่อดัง ผ่านการโฆษณาผ่านมัลแวร์และเทคนิคการเปลี่ยนเส้นทางอื่นๆ เมื่อผู้ใช้เข้าสู่หน้าเว็บเหล่านี้ พวกเขาจะต้องเจอกับข้อความแจ้งเตือนการอัปเดตเร่งด่วนที่ดูเหมือนการแจ้งเตือนความปลอดภัยของ Windows ที่สำคัญ ธีมสำหรับผู้ใหญ่ยิ่งเพิ่มแรงกดดันทางจิตใจ ทำให้การแจ้งเตือนการอัปเดตกะทันหันดูสมเหตุสมผลและทำให้ผู้ใช้ไม่กล้าตั้งคำถามถึงความถูกต้องของเว็บไซต์

ไซต์บางเวอร์ชันมีคำอธิบายของนักพัฒนาเป็นภาษารัสเซีย ซึ่งบ่งชี้ว่ามีความเป็นไปได้ที่จะมีความเชื่อมโยงกับกลุ่มคุกคามที่พูดภาษารัสเซีย

การแจ้งเตือนการอัปเดตเต็มหน้าจอที่หลอกลวง

เมื่อผู้เยี่ยมชมโต้ตอบกับหน้าเว็บปลอม ส่วนประกอบ HTML และ JavaScript จะเปิดหน้าต่างจำลองการอัปเดต Windows แบบเต็มหน้าจอทันที อินเทอร์เฟซใช้พื้นหลังสีน้ำเงินและข้อความสีขาวเรียบง่าย สะท้อนสไตล์ข้อความระบบเร่งด่วน JavaScript พยายามบังคับให้เข้าสู่โหมดเต็มหน้าจอ ขณะที่โค้ดเพิ่มเติมพยายามบล็อกปุ่ม Escape ทั่วไป รวมถึงปุ่ม Escape, F11, F5 และ F12 เพื่อดักจับผู้ใช้ให้ติดอยู่ในการอัปเดตปลอม
แม้จะเกิดเหตุการณ์เช่นนี้ ข้อผิดพลาดในการใช้งานยังทำให้ Escape และ F11 ยังคงทำงานได้ ซึ่งทำให้ผู้ใช้มีทางออกที่เป็นไปได้

หัวใจสำคัญของการหลอกลวงอยู่ที่คำแนะนำที่แสดงให้เหยื่อเห็น: เปิดกล่องโต้ตอบ Run ของ Windows วางคำสั่งที่คัดลอกไว้ล่วงหน้า และดำเนินการตามนั้น การทำตามขั้นตอนเหล่านี้จะเปิดเพย์โหลดที่เป็นอันตรายและเริ่มต้นการโจมตี

การครอบงำของ ClickFix และวิวัฒนาการของการโจมตี

กิจกรรมแบบ ClickFix เพิ่มขึ้นอย่างรวดเร็ว ปัจจุบันคิดเป็นเกือบครึ่งหนึ่งของเหตุการณ์การเข้าถึงครั้งแรกที่ได้รับการบันทึกไว้ โดยทั่วไปแล้ว ภัยคุกคามประเภทนี้มักเลียนแบบการตรวจสอบ CAPTCHA หรือการแจ้งเตือนการแก้ไขปัญหา แคมเปญ JackFix ถือเป็นจุดเริ่มต้นของการเปลี่ยนแปลงไปสู่การล่อลวงที่สมจริงและเหมือนระบบมากขึ้น ซึ่งแสดงให้เห็นว่าผู้โจมตีปรับปรุงการบงการทางจิตวิทยาอย่างต่อเนื่องเพื่อให้เกิดการรันโค้ดโดยผู้ใช้ช่วยเหลือ

การบดบังแบบหลายชั้นและการส่งมอบเพย์โหลดที่เรียกใช้คำสั่ง

คำสั่งแรกที่ดำเนินการบนเครื่องของเหยื่อจะใช้ mshta.exe เพื่อรันเพย์โหลด MSHTA ที่มี JavaScript สคริปต์นี้เรียกใช้คำสั่ง PowerShell เพื่อดึงข้อมูล PowerShell ขั้นอื่นจากเซิร์ฟเวอร์ระยะไกล เพื่อหลีกเลี่ยงการตรวจสอบ โดเมนที่เกี่ยวข้องจะเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่เป็นอันตราย เช่น Google หรือ Steam เมื่อเข้าถึงด้วยตนเอง เฉพาะคำขอที่ส่งผ่านคำสั่ง PowerShell เฉพาะ เช่น irm หรือ iwr เท่านั้นที่จะทำให้เกิดการตอบสนองที่เป็นอันตราย ซึ่งเพิ่มอุปสรรคในการวิเคราะห์อย่างมาก

สคริปต์ PowerShell ที่ดาวน์โหลดมานั้นประกอบไปด้วยการบดบังข้อมูลจำนวนมาก เช่น โค้ดขยะ ตรรกะที่ซ่อนอยู่ และการตรวจสอบที่มุ่งขัดขวางการวิศวกรรมย้อนกลับ นอกจากนี้ยังพยายามยกระดับสิทธิ์และเพิ่มการยกเว้นโปรแกรมป้องกันไวรัสที่เชื่อมโยงกับจุดสิ้นสุด C2 และไดเรกทอรีสำหรับการทดสอบ

การยกระดับสิทธิพิเศษแบบบังคับและการปรับใช้เพย์โหลด

การเพิ่มสิทธิ์จะดำเนินการโดยใช้ cmdlet Start-Process พร้อมพารามิเตอร์ -Verb RunAs โดยจะแจ้งเตือนเหยื่อซ้ำๆ จนกว่าจะได้รับสิทธิ์ผู้ดูแลระบบ เมื่อเพิ่มสิทธิ์แล้ว สคริปต์จะติดตั้งส่วนประกอบเพิ่มเติม ซึ่งมักเป็นโทรจันการเข้าถึงระยะไกลขนาดเล็กที่ออกแบบมาเพื่อติดต่อกับเซิร์ฟเวอร์ C2 และดึงมัลแวร์เพิ่มเติม

คลังอาวุธที่หลากหลายของนักขโมยและนักโหลด

พบว่ามัลแวร์ส่งเพย์โหลดที่แตกต่างกันถึง 8 แบบ ได้แก่:

• Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
• โหลดเดอร์และ RAT อื่นๆ ที่ใช้ในการจัดฉากคุกคามตามมา

การดำเนินการที่ประสบความสำเร็จเพียงครั้งเดียวก็เพียงพอที่จะทำลายข้อมูลสำคัญได้ เหยื่อจะสูญเสียข้อมูลประจำตัว สินทรัพย์คริปโต และข้อมูลส่วนบุคคลอื่นๆ ตัวโหลดบางตัวยังช่วยให้ผู้โจมตีสามารถขยายการบุกรุกด้วยมัลแวร์ที่มีประสิทธิภาพสูงยิ่งขึ้น ส่งผลให้ผลกระทบรุนแรงขึ้นอย่างมาก