JackFix Kötü Amaçlı Yazılım Kampanyası
Son zamanlarda yapılan bir araştırma, ClickFix tarzı sosyal mühendislikten yararlanan artan bir saldırı dalgasına dikkat çekiyor. Bu saldırılar, kurbanları genellikle önceden hazırlanmış teknik komutlar aracılığıyla zararlı komutları kendileri çalıştırmaya ikna etmeye dayanıyor. Son operasyon ise bu taktiği, sahte yetişkin web siteleri ve sahte Windows güncelleme bildirimleriyle birleştirerek daha da ileri götürüyor ve güvenlik ekiplerinin JackFix adını verdiği son derece manipülatif bir enfeksiyon zinciri oluşturuyor.
İçindekiler
Giriş Noktası Olarak Yetişkin Temalı Kimlik Avı Portalları
Kampanya, kötü amaçlı reklamlar ve diğer yönlendirme teknikleriyle sunulan, tanınmış platformlara benzeyecek şekilde tasarlanmış sahte yetişkin siteleriyle başlıyor. Kullanıcılar bu sayfalara geldiklerinde, kritik bir Windows güvenlik bildirimi gibi çerçevelenmiş acil bir güncelleme mesajıyla karşılaşıyorlar. Yetişkin teması, psikolojik baskıyı artırarak ani güncelleme isteğini makul gösteriyor ve kullanıcıların gerçekliğini sorgulamasını engelliyor.
Bu sitelerin bazı varyantlarında Rusça geliştirici açıklamaları yer alıyor ve bu durum, Rusça konuşan bir tehdit grubuyla olası bir bağlantı olduğunu düşündürüyor.
Aldatıcı Tam Ekran Güncelleme Uyarıları
Bir ziyaretçi sahte sayfayla etkileşime girdiğinde, HTML ve JavaScript bileşenleri anında bir Windows güncelleme iletişim kutusunun tam ekran taklidini başlatır. Arayüz, yüksek aciliyetli sistem mesajlarının stilini yansıtan mavi bir arka plan ve sade beyaz metin kullanır. JavaScript tam ekran modunu zorlamaya çalışırken, ek kodlar kullanıcıyı sahte güncelleme içinde yakalamak için Escape, F11, F5 ve F12 gibi yaygın kaçış tuşlarını engellemeye çalışır.
Buna rağmen uygulama hataları Escape ve F11 tuşlarının çalışmaya devam etmesine olanak sağlıyor ve kullanıcılara olası bir çıkış yolu sunuyor.
Aldatmacanın özü, kurbana gösterilen talimatlarda yatıyor: Windows Çalıştır iletişim kutusunu açın, önceden kopyalanmış bir komutu yapıştırın ve çalıştırın. Bu adımları izlemek, kötü amaçlı yükü başlatır ve saldırıyı başlatır.
ClickFix Hakimiyeti ve Saldırının Evrimi
ClickFix tarzı etkinlik keskin bir artış gösterdi ve artık belgelenen ilk erişim olaylarının neredeyse yarısını oluşturuyor. Bu tür tehditler, geleneksel olarak CAPTCHA kontrollerini veya sorun giderme istemlerini taklit eder. JackFix saldırısı, saldırganların kullanıcı destekli kod yürütmeyi başarmak için psikolojik manipülasyonu nasıl sürekli olarak geliştirdiğini göstererek, daha sürükleyici ve sistem benzeri tuzaklara doğru bir geçişi işaret ediyor.
Katmanlı Karartma ve Komut Tetiklemeli Yük Teslimatı
Kurbanın makinesinde çalıştırılan ilk komut, JavaScript içeren bir MSHTA yükünü çalıştırmak için mshta.exe'yi kullanır. Bu komut dosyası, uzak bir sunucudan başka bir PowerShell aşaması alan bir PowerShell komutunu çağırır. İncelemeden kaçınmak için, ilgili alan adları manuel olarak erişildiğinde Google veya Steam gibi zararsız sitelere yönlendirilir. Yalnızca irm veya iwr gibi belirli PowerShell komutları aracılığıyla yapılan istekler kötü amaçlı yanıtı tetikler ve bu da önemli bir analiz engeli oluşturur.
İndirilen PowerShell betiği, yoğun bir şekilde karmaşıklaştırma içeriyor: gereksiz kod, gizli mantık ve tersine mühendisliği engellemeyi amaçlayan kontroller. Ayrıca, ayrıcalık yükseltme girişiminde bulunuyor ve C2 uç noktalarına ve hazırlık dizinlerine bağlı antivirüs hariç tutmaları ekliyor.
Zorunlu Ayrıcalık Yükseltmesi ve Yük Dağıtımı
Ayrıcalık yükseltme, Start‑Process cmdlet'i -Verb RunAs parametresi kullanılarak gerçekleştirilir ve yönetici hakları verilene kadar kurbana tekrar tekrar uyarı gönderilir. Ayrıcalık yükseltmesi yapıldıktan sonra, betik genellikle bir C2 sunucusuyla iletişim kurmak ve daha fazla kötü amaçlı yazılım almak üzere tasarlanmış hafif uzaktan erişim trojanları olan ek bileşenler dağıtır.
Çeşitli Hırsızlar ve Yükleyiciler Cephaneliği
Kötü amaçlı yazılımın, aşağıdakiler de dahil olmak üzere sekiz farklı yük taşıdığı gözlemlendi:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- Takip eden tehditleri düzenlemek için kullanılan diğer yükleyiciler ve RAT'lar
Hassas verileri tehlikeye atmak için tek bir başarılı uygulama yeterlidir. Mağdurlar kimlik bilgilerini, kripto varlıklarını ve diğer kişisel bilgilerini kaybetme tehlikesiyle karşı karşıya kalır. Bazı yükleyiciler ayrıca saldırganların daha güçlü kötü amaçlı yazılımlarla saldırıyı genişletmesine olanak tanıyarak etkiyi önemli ölçüde artırır.
