JackFix: эволюция ClickFix-фишинга с поддельным Windows Update

Недавнее исследование Acronis TRU выявило новую, многоэтапную киберкампанию, получившую название «атака JackFix». Злоумышленники используют сочетание проверенных техник социальной инженерии и усовершенствованных методов маскировки ClickFix, чтобы заставить пользователей выполнить вредоносные команды и загрузить тяжелые PowerShell-пayload’ы. Особенность кампании — применение поддельных веб-сайтов для взрослых, на которых отображается полноэкранное приглашение якобы от Центра обновления Windows.

Как выглядит уловка

Атака начинается с перенаправления жертвы на фишинговый сайт для взрослых. Контекст выбран намеренно: дискомфорт и стыд делают человека более уязвимым и склонным к поспешным действиям. На таких страницах фейковое окно занимает весь экран и имитирует уведомление Windows Update со следующим содержимым:

«Критические обновления для системы безопасности Windows»

Далее жертве предлагается выполнить ряд действий, которые на деле приводят к копированию команд в буфер обмена и запуску вредоносных скриптов через интерфейс браузера — классическая техника ClickFix, адаптированная и усложнённая авторами JackFix.

Технические особенности и этапы атаки

Исследователи Acronis TRU отмечают несколько ключевых технических моментов:

• Многократные итерации фишинговых сайтов: код сайтов менялся со временем; в ранних версиях обнаружены комментарии на русском языке, которые позднее были удалены — это указывает на возможную связь с русскоязычными операторами.
• Усовершенствованное запутывание ClickFix: вредоносная полезная нагрузка и команды для буфера обмена маскируются так, чтобы обойти детектирование, ориентированное на типичные HTML/JavaScript-паттерны ClickFix.
• Встраивание механизма «Windows Update» прямо в HTML/JavaScript страницы: в отличие от предыдущих реализаций, где использовались внешние векторы для имитации обновлений, JackFix реализует поддельный запрос обновления непосредственно на странице фишинга.
• Двухэтапная доставка полезной нагрузки:Первый этап — серия скриптов небольшой и средней сложности, служащих загрузчиком.
  Второй этап — большой PowerShell-скрипт: по данным Acronis TRU, объём достигает ~13 МБ, а минимальные версии содержат порядка 20 000 слов, что свидетельствует о значительной сложности и потенциале для дальнейших действий.
  
• Финальная загрузка вредоносного ПО: в конце цепочки злоумышленники поставляют несколько типов malware — information stealers и RAT (Remote Access Trojan) — классический «spray-and-pray» подход для охвата максимального числа жертв.

Социальная инженерия как ключевой компонент

Кампания демонстрирует эволюцию методов социальной инженерии: сочетание стыда, страха и срочности заставляет пользователей действовать вопреки базовым правилам безопасности. По мнению аналитиков, именно психоэмоциональный контекст (adult-сайты) повышает вероятность того, что пользователь выполнит предложенные инструкции.

Индикаторы компрометации и рекомендации по защите

Среди примечательных индикаторов и практических рекомендаций —

• Осторожность при полноэкранных и навязчивых сообщениях о «критических обновлениях» на сайтах, не связанных с Microsoft.
• Проверка источника и URL-адреса перед выполнением любых инструкций; официальные уведомления Windows Update приходят через системные механизмы, а не через веб-страницы.
• Блокировка и мониторинг выполнения неожиданных PowerShell-скриптов: именно такие payload’ы используются во втором этапе кампании.
• Использование современных EDR/XDR-решений: в отчёте отмечено, что Acronis XDR способен обнаружить и блокировать выполнение вредоносной PowerShell-полезной нагрузки этой кампании.
• Обучение сотрудников и пользователей методам распознавания фишинга и отказ от импульсивных действий под давлением стыда или страха.

Выводы

Кампания JackFix — показательный пример того, как злоумышленники комбинируют технические ухищрения (маскировка ClickFix, большие PowerShell-скрипты) с тонкими приёмами социальной инженерии (использование сайтов для взрослых и имитация Windows Update). Это подчёркивает необходимость комплексной защиты: от технических средств обнаружения и блокировки вредоносных payload’ов до постоянного обучения пользователей и корректной настройки политик безопасности.

Исходные данные: исследование Acronis TRU. Техническое обнаружение и предотвращение по состоянию на дату публикации обеспечиваются средствами Acronis XDR согласно заявлению исследователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "JackFix: эволюция ClickFix-фишинга с поддельным Windows Update".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.