Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware JackFix Malware-Kampagne

JackFix Malware-Kampagne

Von Mezo in Malware
Übersetzen Sie in:

Eine aktuelle Untersuchung beleuchtet eine wachsende Welle von Angriffen, die Social Engineering im Stil von ClickFix ausnutzen. Diese Maschen basieren darauf, Opfer zur Ausführung schädlicher Befehle zu verleiten, oft durch inszenierte technische Aufforderungen. Die neueste Operation treibt diese Taktik auf die Spitze, indem sie sie mit gefälschten Erwachsenenwebseiten und gefälschten Windows-Update-Benachrichtigungen kombiniert und so eine hochgradig manipulative Infektionskette bildet, die Sicherheitsteams JackFix getauft haben.

Phishing-Portale mit Inhalten für Erwachsene als Einstiegspunkt

Die Kampagne beginnt mit gefälschten Erwachsenenwebseiten, die bekannten Plattformen täuschend ähnlich sehen und über Malvertising und andere Weiterleitungstechniken verbreitet werden. Sobald Nutzer auf diese Seiten gelangen, werden sie umgehend mit einer dringenden Update-Meldung konfrontiert, die als wichtige Windows-Sicherheitswarnung getarnt ist. Das erotische Thema verstärkt den psychologischen Druck, lässt die plötzliche Update-Aufforderung plausibel erscheinen und hält Nutzer davon ab, deren Echtheit zu hinterfragen.

Einige Varianten dieser Seiten enthalten Entwicklerkommentare in russischer Sprache, was auf eine mögliche Verbindung zu einer russischsprachigen Bedrohungsgruppe hindeutet.

Irreführende Vollbild-Update-Benachrichtigungen

Sobald ein Besucher mit der manipulierten Seite interagiert, starten HTML- und JavaScript-Komponenten sofort eine Vollbild-Imitation eines Windows-Update-Dialogs. Die Benutzeroberfläche verwendet einen blauen Hintergrund und einfache weiße Schrift, um den Stil dringender Systemmeldungen nachzuahmen. JavaScript versucht, den Vollbildmodus zu erzwingen, während zusätzlicher Code gängige Escape-Tasten wie Escape, F11, F5 und F12 blockiert, um den Benutzer in dem gefälschten Update gefangen zu halten.
Trotzdem ermöglichen Implementierungsfehler, dass Escape und F11 weiterhin funktionieren und den Benutzern somit einen möglichen Ausweg bieten.

Der Kern der Täuschung liegt in den Anweisungen, die dem Opfer angezeigt werden: Öffnen Sie das Windows-Dialogfeld „Ausführen“, fügen Sie einen vorab kopierten Befehl ein und führen Sie ihn aus. Durch diese Schritte wird die Schadsoftware gestartet und der Angriff eingeleitet.

ClickFix-Dominanz und die Evolution des Angriffs

Aktivitäten im Stil von ClickFix haben stark zugenommen und machen mittlerweile fast die Hälfte aller dokumentierten Erstzugriffe aus. Üblicherweise geben sich solche Bedrohungen als CAPTCHA-Prüfungen oder Problembehebungsaufforderungen aus. Die JackFix-Kampagne markiert einen Wandel hin zu immersiveren und systemähnlichen Ködern und zeigt, wie Angreifer psychologische Manipulationen kontinuierlich verfeinern, um die Ausführung von Schadcode durch den Benutzer zu ermöglichen.

Mehrschichtige Verschleierung und befehlsgesteuerte Nutzlastübermittlung

Der erste auf dem Rechner des Opfers ausgeführte Befehl nutzt mshta.exe, um eine MSHTA-Payload mit JavaScript auszuführen. Dieses Skript ruft einen PowerShell-Befehl auf, der eine weitere PowerShell-Phase von einem Remote-Server abruft. Um eine Überprüfung zu vermeiden, leiten die zugehörigen Domains bei manuellem Zugriff auf harmlose Seiten wie Google oder Steam um. Nur Anfragen über bestimmte PowerShell-Befehle, wie z. B. irm oder iwr, lösen die schädliche Reaktion aus und erschweren so die Analyse erheblich.

Das heruntergeladene PowerShell-Skript enthält umfangreiche Verschleierungsmechanismen: Blindcode, versteckte Logik und Prüfungen, die Reverse Engineering erschweren sollen. Es versucht außerdem, Berechtigungen zu erweitern und fügt Antiviren-Ausnahmen hinzu, die an C2-Endpunkte und Staging-Verzeichnisse gebunden sind.

Erzwungene Rechteausweitung und Payload-Bereitstellung

Die Rechteerweiterung erfolgt mithilfe des Cmdlets „Start-Process“ mit dem Parameter „-Verb RunAs“, wobei das Opfer wiederholt zur Eingabe von Administratorrechten aufgefordert wird. Nach Erhalt der Rechte installiert das Skript zusätzliche Komponenten, häufig schlanke Remote-Access-Trojaner, die einen C2-Server kontaktieren und weitere Schadsoftware herunterladen.

Ein vielfältiges Arsenal an Diebstählen und Ladern

Es wurde beobachtet, dass die Schadsoftware bis zu acht verschiedene Nutzlasten ausliefert, darunter:

  • Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
  • Andere Loader und RATs wurden eingesetzt, um Folgeangriffe durchzuführen.

Bereits eine einzige erfolgreiche Ausführung genügt, um sensible Daten zu gefährden. Opfer riskieren den Verlust von Zugangsdaten, Kryptowährungen und anderen persönlichen Informationen. Bestimmte Loader ermöglichen es Angreifern zudem, den Angriff mit gefährlicherer Schadsoftware auszuweiten und die Auswirkungen dadurch erheblich zu verstärken.

Im Trend

Am häufigsten gesehen

Wird geladen...