Кампанія проти шкідливого програмного забезпечення JackFix
Нещодавнє розслідування виявляє зростаючу хвилю атак, що використовують соціальну інженерію в стилі ClickFix. Ці схеми покладаються на переконання жертв самостійно виконувати шкідливі команди, часто за допомогою поетапних технічних підказок. Остання операція розвиває цю тактику далі, поєднуючи її з фальшивими веб-сайтами для дорослих та підробленими повідомленнями про оновлення Windows, формуючи надзвичайно маніпулятивний ланцюг зараження, який команди безпеки назвали JackFix.
Зміст
Фішингові портали для дорослих як точка входу
Кампанія починається з шахрайських сайтів для дорослих, створених під виглядом відомих платформ, що розповсюджуються за допомогою шкідливої реклами та інших методів перенаправлення. Коли користувачі потрапляють на ці сторінки, вони швидко стикаються з повідомленням про термінове оновлення, оформленим як критичне сповіщення безпеки Windows. Тематика для дорослих посилює психологічний тиск, роблячи раптове запрошення на оновлення правдоподібним і не спонукаючи користувачів сумніватися в його достовірності.
Деякі варіанти цих сайтів містять коментарі розробників російською мовою, що натякає на можливий зв'язок із російськомовною групою зловмисників.
Оманливі сповіщення про оновлення на весь екран
Щойно відвідувач взаємодіє з фальшивою сторінкою, компоненти HTML та JavaScript миттєво запускають повноекранну імітацію діалогового вікна оновлення Windows. Інтерфейс використовує синій фон та простий білий текст, що повторює стиль системних повідомлень високої терміновості. JavaScript намагається примусово перейти в повноекранний режим, тоді як додатковий код намагається заблокувати поширені клавіші Escape, включаючи Escape, F11, F5 та F12, щоб заманити користувача в пастку фальшивого оновлення.
Незважаючи на це, помилки реалізації дозволяють Escape та F11 все ще функціонувати, надаючи користувачам можливий вихід.
Суть обману полягає в інструкціях, що відображаються жертві: відкрити діалогове вікно «Виконати» у Windows, вставити попередньо скопійовану команду та виконати її. Виконання цих кроків запускає шкідливе корисне навантаження та ініціює компрометацію.
Домінування ClickFix та еволюція атаки
Активність у стилі ClickFix різко зросла, і зараз становить майже половину задокументованих подій першого доступу. Традиційно такі загрози видають себе за перевірки CAPTCHA або запити на усунення несправностей. Кампанія JackFix знаменує собою перехід до більш захопливих та системних приманок, показуючи, як зловмисники постійно вдосконалюють психологічні маніпуляції для досягнення виконання коду за участю користувача.
Багаторівневе обфускація та доставка корисного навантаження за допомогою команд
Перша команда, що виконується на комп'ютері жертви, використовує mshta.exe для запуску корисного навантаження MSHTA, що містить JavaScript. Цей скрипт викликає команду PowerShell, яка отримує інший етап PowerShell з віддаленого сервера. Щоб уникнути перевірки, пов'язані домени перенаправляють на нешкідливі сайти, такі як Google або Steam, під час ручного доступу. Лише запити, зроблені через певні команди PowerShell, такі як irm або iwr, запускають шкідливу відповідь, що додає суттєвого бар'єру для аналізу.
Завантажений скрипт PowerShell містить сильну обфускацію: небажаний код, приховану логіку та перевірки, спрямовані на перешкоджання зворотному проектуванню. Він також намагається підвищити привілеї та додає антивірусні виключення, пов'язані з кінцевими точками C2 та проміжними каталогами.
Примусове підвищення привілеїв та розгортання корисного навантаження
Підвищення привілеїв здійснюється за допомогою командлета Start-Process з параметром -Verb RunAs, який неодноразово запитує права адміністратора у жертви, доки їй не будуть надані права адміністратора. Після підвищення привілеїв скрипт розгортає додаткові компоненти, часто легкі трояни віддаленого доступу, призначені для зв'язку з сервером C2 та отримання додаткового шкідливого програмного забезпечення.
Різноманітний арсенал злодіїв та навантажувачів
Було помічено, що шкідливе програмне забезпечення доставляє до восьми різних корисних навантажень, зокрема:
- Викрадач Радамантіс, Викрадач Відар 2.0, Викрадач Червоної Лінії, Амадей
- Інші завантажувачі та RAT-сервери, що використовуються для інсценування подальших загроз
Лише одного успішного виконання достатньо, щоб поставити під загрозу конфіденційні дані. Жертви стикаються з втратою облікових даних, криптовалютних активів та іншої особистої інформації. Деякі завантажувачі також дозволяють зловмисникам розширити вторгнення за допомогою потужнішого шкідливого програмного забезпечення, що значно посилює вплив.
