JackFix Malware Campaign
Ang isang kamakailang pagsisiyasat ay nagha-highlight ng lumalaking alon ng mga pag-atake na nagsasamantala sa ClickFix-style social engineering. Ang mga iskema na ito ay umaasa sa pagkumbinsi sa mga biktima na sila mismo ang magsagawa ng mga mapaminsalang utos, kadalasan sa pamamagitan ng mga nakaplanong teknikal na senyas. Ang pinakahuling operasyon ay nagpatuloy sa taktika na ito sa pamamagitan ng pagpapares nito sa mga pekeng website na pang-adulto at mga pekeng abiso sa pag-update ng Windows, na bumubuo ng isang napakamanipulative na chain ng impeksyon sa mga security team na tinawag na JackFix.
Talaan ng mga Nilalaman
Mga Portal ng Phishing na May Temang Pang-adulto bilang Entry Point
Nagsisimula ang kampanya sa mga mapanlinlang na pang-adultong site na ginawa upang maging katulad ng mga kilalang platform, na inihatid sa pamamagitan ng malvertising at iba pang mga diskarte sa pag-redirect. Kapag napunta ang mga user sa mga page na ito, mabilis silang nahaharap sa isang mensahe ng agarang update na naka-frame bilang isang kritikal na notification sa seguridad ng Windows. Ang tema ng pang-adulto ay pinalalakas ang sikolohikal na presyon, na ginagawang ang biglaang pag-update ng prompt ay tila kapani-paniwala at hindi hinihikayat ang mga gumagamit mula sa pagtatanong sa pagiging tunay nito.
Ang ilang variant ng mga site na ito ay naglalaman ng mga komento ng developer sa Russian, na nagmumungkahi ng posibleng koneksyon sa isang grupo ng pagbabanta na nagsasalita ng Russian.
Mapanlinlang na Mga Alerto sa Pag-update sa Buong Screen
Kapag nakipag-ugnayan ang isang bisita sa rogue page, ang mga bahagi ng HTML at JavaScript ay agad na naglulunsad ng full-screen na imitasyon ng dialog ng pag-update ng Windows. Gumagamit ang interface ng isang asul na background at simpleng puting text, na umaalingawngaw sa istilo ng mga mensahe ng high-urgent system. Sinusubukan ng JavaScript na pilitin ang full-screen mode, habang sinusubukan ng karagdagang code na harangan ang mga karaniwang escape key, kabilang ang Escape, F11, F5, at F12, upang ma-trap ang user sa loob ng pekeng update.
Sa kabila nito, pinapayagan ng mga error sa pagpapatupad ang Escape at F11 na gumana pa rin, na nagbibigay sa mga user ng posibleng paraan.
Ang pinakabuod ng panlilinlang ay nakasalalay sa mga tagubiling ipinapakita sa biktima: buksan ang dialog ng Windows Run, i-paste ang isang paunang kinopya na utos, at isagawa ito. Ang pagsunod sa mga hakbang na ito ay naglulunsad ng nakakahamak na payload at nagpasimula ng kompromiso.
ClickFix Dominance at ang Ebolusyon ng Attack
Ang aktibidad sa istilo ng ClickFix ay tumaas nang husto, ngayon ay kumakatawan sa halos kalahati ng mga nakadokumentong kaganapan sa paunang pag-access. Ayon sa kaugalian, ang mga naturang banta ay nagpapanggap bilang mga pagsusuri sa CAPTCHA o mga prompt sa pag-troubleshoot. Ang JackFix campaign ay nagmamarka ng pagbabago tungo sa mas nakaka-engganyong at mala-system na pang-akit, na nagpapakita kung paano patuloy na nililinis ng mga umaatake ang sikolohikal na pagmamanipula upang makamit ang pagpapatupad ng code na tinulungan ng user.
Layered Obfuscation at Command-Triggered Payload Delivery
Ang unang utos na ipinatupad sa makina ng biktima ay gumagamit ng mshta.exe upang magpatakbo ng isang MSHTA payload na naglalaman ng JavaScript. Ang script na ito ay tumatawag sa isang PowerShell command na kumukuha ng isa pang PowerShell stage mula sa isang malayuang server. Upang maiwasan ang pagsisiyasat, ang mga nauugnay na domain ay nagre-redirect sa mga hindi nakakapinsalang site tulad ng Google o Steam kapag na-access nang manu-mano. Ang mga kahilingan lang na ginawa sa pamamagitan ng mga partikular na command ng PowerShell, gaya ng irm o iwr, ang nagti-trigger ng malisyosong tugon, nagdaragdag ng makabuluhang hadlang sa pagsusuri.
Kasama sa na-download na PowerShell script ang matinding obfuscation: junk code, nakatagong logic, at mga pagsusuri na nilalayong hadlangan ang reverse engineering. Sinusubukan din nito ang pagtaas ng pribilehiyo at nagdaragdag ng mga pagbubukod ng antivirus na nauugnay sa mga endpoint ng C2 at mga direktoryo ng pagtatanghal.
Sapilitang Pagtaas ng Pribilehiyo at Pag-deploy ng Payload
Ang pagtaas ng pribilehiyo ay hinahabol gamit ang Start‑Process cmdlet na may parameter na -Verb RunAs, paulit-ulit na nag-uudyok sa biktima hanggang sa mabigyan ng mga karapatang pang-administratibo. Kapag nakataas na, nagde-deploy ang script ng mga karagdagang bahagi, kadalasang magaan ang malayuang pag-access na mga trojan na idinisenyo upang makipag-ugnayan sa isang C2 server at kumuha ng karagdagang malware.
Isang Diverse Arsenal of Stealers and Loaders
Ang malware ay naobserbahang naghahatid ng hanggang walong natatanging payload, kabilang ang:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- Ang iba pang mga loader at RAT ay ginamit upang magsagawa ng mga follow-on na pagbabanta
Isang matagumpay na pagpapatupad lamang ang sapat upang mapahamak ang sensitibong data. Ang mga biktima ay nahaharap sa pagkawala ng mga kredensyal, crypto holdings, at iba pang personal na impormasyon. Ang ilang partikular na loader ay nagbibigay-daan din sa mga umaatake na palawigin ang panghihimasok gamit ang mas makapangyarihang malware, na nagpapalaki ng epekto nang malaki.
