Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Chiến dịch phần mềm độc hại JackFix

Chiến dịch phần mềm độc hại JackFix

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:

Một cuộc điều tra gần đây cho thấy làn sóng tấn công khai thác kỹ thuật xã hội kiểu ClickFix đang gia tăng. Các thủ đoạn này dựa vào việc thuyết phục nạn nhân tự thực hiện các lệnh độc hại, thường thông qua các lời nhắc kỹ thuật được dàn dựng. Chiến dịch mới nhất còn đi xa hơn bằng cách kết hợp nó với các trang web người lớn giả mạo và thông báo cập nhật Windows giả mạo, tạo thành một chuỗi lây nhiễm có tính thao túng cao mà các nhóm bảo mật gọi là JackFix.

Cổng thông tin lừa đảo có chủ đề dành cho người lớn là điểm vào

Chiến dịch bắt đầu với các trang web người lớn lừa đảo được thiết kế giống với các nền tảng nổi tiếng, được phân phối thông qua quảng cáo độc hại và các kỹ thuật chuyển hướng khác. Khi người dùng truy cập vào các trang này, họ nhanh chóng nhận được thông báo cập nhật khẩn cấp được đóng khung dưới dạng thông báo bảo mật Windows quan trọng. Chủ đề người lớn khuếch đại áp lực tâm lý, khiến lời nhắc cập nhật đột ngột có vẻ hợp lý và khiến người dùng không còn nghi ngờ tính xác thực của nó.

Một số biến thể của các trang web này chứa các nhận xét của nhà phát triển bằng tiếng Nga, cho thấy có thể có mối liên hệ với một nhóm đe dọa nói tiếng Nga.

Cảnh báo cập nhật toàn màn hình lừa đảo

Khi người dùng tương tác với trang giả mạo, các thành phần HTML và JavaScript sẽ ngay lập tức khởi chạy một hộp thoại cập nhật Windows giả dạng toàn màn hình. Giao diện sử dụng nền xanh lam và chữ trắng đơn giản, gợi nhớ đến phong cách của các thông báo hệ thống cấp bách. JavaScript cố gắng ép buộc chế độ toàn màn hình, trong khi mã bổ sung cố gắng chặn các phím thoát phổ biến, bao gồm Escape, F11, F5 và F12, để bẫy người dùng trong bản cập nhật giả mạo.
Mặc dù vậy, các lỗi triển khai vẫn cho phép Escape và F11 hoạt động, mang đến cho người dùng một lối thoát khả thi.

Mấu chốt của trò lừa đảo nằm ở các hướng dẫn được hiển thị cho nạn nhân: mở hộp thoại Run của Windows, dán lệnh đã sao chép sẵn và thực thi. Làm theo các bước này, mã độc sẽ khởi chạy và bắt đầu xâm nhập.

Sự thống trị của ClickFix và sự phát triển của cuộc tấn công

Hoạt động kiểu ClickFix đã tăng mạnh, hiện chiếm gần một nửa số sự kiện truy cập ban đầu được ghi nhận. Thông thường, các mối đe dọa này giả mạo các lệnh kiểm tra CAPTCHA hoặc lời nhắc khắc phục sự cố. Chiến dịch JackFix đánh dấu sự chuyển hướng sang các chiêu trò nhập vai và mang tính hệ thống hơn, cho thấy cách kẻ tấn công liên tục tinh chỉnh các thao tác tâm lý để thực thi mã được người dùng hỗ trợ.

Làm mờ lớp và phân phối tải trọng kích hoạt lệnh

Lệnh đầu tiên được thực thi trên máy nạn nhân sẽ tận dụng mshta.exe để chạy một payload MSHTA chứa JavaScript. Tập lệnh này gọi một lệnh PowerShell để truy xuất một giai đoạn PowerShell khác từ một máy chủ từ xa. Để tránh bị phát hiện, các tên miền liên quan sẽ chuyển hướng đến các trang web vô hại như Google hoặc Steam khi được truy cập thủ công. Chỉ những yêu cầu được thực hiện thông qua các lệnh PowerShell cụ thể, chẳng hạn như irm hoặc iwr, mới kích hoạt phản hồi độc hại, tạo thêm một rào cản phân tích đáng kể.

Tập lệnh PowerShell đã tải xuống bao gồm nhiều lớp mã hóa phức tạp: mã rác, logic ẩn và các kiểm tra nhằm ngăn chặn kỹ thuật đảo ngược. Nó cũng cố gắng leo thang đặc quyền và thêm các loại trừ chống vi-rút liên quan đến các điểm cuối C2 và thư mục dàn dựng.

Tăng cường đặc quyền bắt buộc và triển khai tải trọng

Việc nâng cao đặc quyền được thực hiện bằng lệnh cmdlet Start-Process với tham số -Verb RunAs, liên tục nhắc nhở nạn nhân cho đến khi quyền quản trị được cấp. Sau khi nâng cao, tập lệnh sẽ triển khai các thành phần bổ sung, thường là các trojan truy cập từ xa hạng nhẹ được thiết kế để liên hệ với máy chủ C2 và tải thêm phần mềm độc hại.

Một kho vũ khí đa dạng của những kẻ trộm và kẻ nạp đạn

Phần mềm độc hại này được phát hiện có thể cung cấp tới tám tải trọng riêng biệt, bao gồm:

  • Kẻ trộm Rhadamanthys, Kẻ trộm Vidar 2.0, Kẻ trộm RedLine, Amadey
  • Các trình tải và RAT khác được sử dụng để dàn dựng các mối đe dọa tiếp theo

Chỉ cần một lần thực thi thành công cũng đủ để gây nguy hiểm cho dữ liệu nhạy cảm. Nạn nhân phải đối mặt với nguy cơ mất thông tin đăng nhập, tài sản mã hóa và các thông tin cá nhân khác. Một số trình tải còn cho phép kẻ tấn công mở rộng phạm vi xâm nhập bằng phần mềm độc hại mạnh hơn, làm gia tăng đáng kể tác động.

xu hướng

UPS - Hành động cần thiết cho vụ lừa đảo lô hàng của...

Lừa đảo, Thư rác
Tội phạm mạng thường ngụy trang các chiến dịch lừa đảo của chúng dưới dạng thông tin cập nhật giao hàng, và trò lừa đảo UPS – Hành động cần thiết cho lô hàng của bạn là một ví dụ điển hình. Mặc dù có vẻ như đến từ một đơn vị chuyển phát nhanh đáng tin cậy, nhưng nó không liên quan đến bất kỳ công ty, tổ chức hay nhà cung cấp dịch vụ hợp pháp nào. Các email này bắt chước thông báo giao hàng thực...

Lừa đảo yêu cầu ủy quyền gửi tin nhắn

Lừa đảo, Thư rác
Tội phạm mạng tiếp tục sử dụng các chiêu trò email đáng tin cậy để lừa người nhận cung cấp thông tin nhạy cảm. Một trong những ví dụ gần đây nhất là Lừa đảo Yêu cầu Ủy quyền Gửi Tin nhắn, một hoạt động được thiết kế để bắt chước các thông báo hộp thư đến thông thường và thao túng người dùng cung cấp thông tin đăng nhập tài khoản. Mặc dù những tin nhắn này có vẻ chuyên nghiệp, nhưng chúng không...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,532
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...