JackFix惡意軟體活動
最近的一項調查揭示了利用 ClickFix 式社交工程攻擊日益增多的趨勢。這些攻擊手段依賴誘騙受害者自行執行有害指令,通常是透過精心設計的提示技術手段。最新的攻擊行動更進一步,將這種策略與虛假成人網站和偽造的 Windows 更新通知相結合,形成了高度操控性的感染鏈,安全團隊稱之為 JackFix。
目錄
以成人主題釣魚網站為入口
這項攻擊活動始於精心製作的虛假成人網站,這些網站模仿知名平台,並透過惡意廣告和其他重新導向技術進行推廣。當使用者進入這些頁面時,會立即看到一則緊急更新訊息,該訊息偽裝成重要的Windows安全通知。成人主題加劇了使用者的心理壓力,使突如其來的更新提示顯得合理,從而避免用戶質疑其真實性。
這些網站的某些變體包含開發者用俄語發表的評論,這表明它們可能與講俄語的威脅組織有關聯。
具有欺騙性的全螢幕更新提醒
一旦訪客與惡意頁面交互,HTML 和 JavaScript 元件會立即啟動一個全螢幕的、模仿 Windows 更新對話框的介面。介面採用藍色背景和簡潔的白色文字,模仿緊急系統訊息的風格。 JavaScript 會嘗試強制全螢幕顯示,同時其他程式碼會嘗試封鎖常用的 Esc 鍵,包括 Esc、F11、F5 和 F12,從而將使用者困在虛假的更新視窗中。
儘管如此,由於實作錯誤,Escape 和 F11 鍵仍然可以正常運作,為使用者提供了可能的解決方法。
這種欺騙的關鍵在於向受害者展示的指令:打開Windows運行對話框,貼上預先複製的命令,然後執行。依照這些步驟操作會啟動惡意程式並開始入侵。
ClickFix 的主導地位及其攻擊的演變
ClickFix 式攻擊活動急劇增加,目前已佔到記錄在案的首次訪問事件的近一半。傳統上,此類威脅會偽裝成驗證碼檢查或故障排除提示。 JackFix 攻擊活動標誌著攻擊者正轉向更具沉浸感和系統化誘餌的策略,表明攻擊者如何不斷改進心理操縱手段,以實現用戶輔助代碼執行。
分層混淆和命令觸發式有效載荷交付
在受害者機器上執行的第一個指令利用 mshta.exe 來執行包含 JavaScript 的 MSHTA 酬載。這個腳本呼叫一個 PowerShell 指令,從遠端伺服器擷取另一個 PowerShell 階段。為了逃避審查,相關網域在手動造訪時會重新導向至 Google 或 Steam 等無害網站。只有透過特定 PowerShell 命令(例如 irm 或 iwr)發出的請求才會觸發惡意回應,從而顯著增加了分析難度。
下載的 PowerShell 腳本包含大量混淆程式碼:無用程式碼、隱藏邏輯以及旨在阻礙逆向工程的檢查。它還會嘗試提升權限,並新增與 C2 端點和暫存目錄相關的防毒排除項目。
強制權限提升和有效載荷部署
攻擊者使用具有 `-Verb RunAs` 參數的 `Start-Process` cmdlet 來提升權限,反覆提示受害者直至授予其管理員權限。權限提升後,腳本會部署其他元件,通常是輕量級的遠端存取木馬,用於連接 C2 伺服器並取得更多惡意軟體。
種類繁多的竊賊和裝載者
據觀察,該惡意軟體最多可投放八種不同的有效載荷,其中包括:
- Rhadamanthys Stealer、Vidar Stealer 2.0、RedLine Stealer、Amadey
- 其他裝載機和遠端攻擊小組(RAT)用於製造後續威脅
只需一次成功執行,就足以危及敏感資料。受害者將面臨憑證遺失、加密貨幣資產損失以及其他個人資訊外洩的風險。某些加載器還能讓攻擊者利用更強大的惡意軟體來擴展入侵範圍,從而顯著加劇影響。
