JackFix恶意软件活动

最近的一项调查揭示了利用 ClickFix 式社交工程攻击日益增多的趋势。这些攻击手段依赖于诱骗受害者自行执行有害指令，通常是通过精心设计的提示技术手段。最新的攻击行动更进一步，将这种策略与虚假成人网站和伪造的 Windows 更新通知相结合，形成了一种高度操控性的感染链，安全团队将其称为 JackFix。

以成人主题钓鱼网站为入口

该攻击活动始于精心制作的虚假成人网站，这些网站模仿知名平台，并通过恶意广告和其他重定向技术进行推广。当用户进入这些页面时，会立即看到一条紧急更新消息，该消息伪装成重要的Windows安全通知。成人主题加剧了用户的心理压力，使突如其来的更新提示显得合情合理，从而避免用户质疑其真实性。

这些网站的某些变体包含开发者用俄语发表的评论，这表明它们可能与讲俄语的威胁组织有关联。

具有欺骗性的全屏更新提醒

一旦访客与恶意页面交互，HTML 和 JavaScript 组件会立即启动一个全屏的、模仿 Windows 更新对话框的界面。该界面采用蓝色背景和简洁的白色文字，模仿紧急系统消息的风格。JavaScript 会尝试强制全屏显示，同时其他代码会尝试屏蔽常用的 Esc 键，包括 Esc、F11、F5 和 F12，从而将用户困在虚假的更新窗口中。
尽管如此，由于实现错误，Escape 和 F11 键仍然可以正常工作，为用户提供了一种可能的解决方法。

这种欺骗的关键在于向受害者展示的指令：打开Windows运行对话框，粘贴预先复制的命令，然后执行。按照这些步骤操作会启动恶意程序并开始入侵。

ClickFix 的主导地位及其攻击的演变

ClickFix 式攻击活动急剧增加，目前已占到记录在案的首次访问事件的近一半。传统上，此类威胁会伪装成验证码检查或故障排除提示。JackFix 攻击活动标志着攻击者正转向更具沉浸感和系统化诱饵的策略，表明攻击者如何不断改进心理操纵手段，以实现用户辅助代码执行。

分层混淆和命令触发式有效载荷交付

在受害者机器上执行的第一条命令利用 mshta.exe 运行包含 JavaScript 的 MSHTA 有效载荷。该脚本调用一个 PowerShell 命令，从远程服务器检索另一个 PowerShell 阶段。为了逃避审查，相关域名在手动访问时会重定向到 Google 或 Steam 等无害网站。只有通过特定 PowerShell 命令（例如 irm 或 iwr）发出的请求才会触发恶意响应，从而显著增加了分析难度。

下载的 PowerShell 脚本包含大量混淆代码：无用代码、隐藏逻辑以及旨在阻碍逆向工程的检查。它还会尝试提升权限，并添加与 C2 端点和暂存目录相关的防病毒排除项。

强制权限提升和有效载荷部署

攻击者使用带有 `-Verb RunAs` 参数的 `Start-Process` cmdlet 来提升权限，反复提示受害者直至授予其管理员权限。权限提升后，脚本会部署其他组件，通常是轻量级的远程访问木马，用于连接 C2 服务器并获取更多恶意软件。

种类繁多的窃贼和装载者

据观察，该恶意软件最多可投放八种不同的有效载荷，其中包括：

• Rhadamanthys Stealer、Vidar Stealer 2.0、RedLine Stealer、Amadey
• 其他装载机和远程攻击小组（RAT）用于制造后续威胁

只需一次成功执行，就足以危及敏感数据。受害者将面临凭证丢失、加密货币资产损失以及其他个人信息泄露的风险。某些加载器还能让攻击者利用更强大的恶意软件扩展入侵范围，从而显著加剧影响。