【安全圈】JackFix 假冒 Windows 更新全屏界面誘導(dǎo)執(zhí)行惡意命令

關(guān)鍵詞

網(wǎng)絡(luò)攻擊

近期，一類被稱為 JackFix 的 ClickFix 攻擊變體受到安全研究團(tuán)隊(duì)關(guān)注。攻擊者利用高度偽裝的虛假 Windows 更新界面誘導(dǎo)受害者主動(dòng)執(zhí)行惡意命令，從而開啟多階段感染鏈。與傳統(tǒng)偽造“系統(tǒng)修復(fù)”“機(jī)器人驗(yàn)證”類誘導(dǎo)不同，這一活動(dòng)將攻擊界面?zhèn)窝b得近乎原生系統(tǒng)提示，并通過(guò)全屏覆蓋制造緊迫感，使用戶誤以為操作系統(tǒng)出現(xiàn)了嚴(yán)重錯(cuò)誤。

研究人員分析發(fā)現(xiàn)，這些偽造的更新界面由 HTML 與 JavaScript 構(gòu)建，會(huì)在受害者訪問(wèn)特定站點(diǎn)后立即彈出，并嘗試通過(guò)前端腳本強(qiáng)制進(jìn)入全屏模式，營(yíng)造類似 Windows 更新或藍(lán)屏恢復(fù)環(huán)境的視覺效果。同時(shí)，腳本會(huì)屏蔽 Escape、F11、F5、F12 等常用退出指令，以延遲用戶逃離界面的可能性。盡管由于邏輯缺陷仍能被繞過(guò)，但多數(shù)非技術(shù)用戶易被迷惑并按提示操作。

最關(guān)鍵的誘導(dǎo)步驟是讓受害者打開 Windows 運(yùn)行框、粘貼預(yù)置的命令并按下回車鍵。此命令通過(guò)合法系統(tǒng)文件 mshta.exe 調(diào)用嵌入式 JavaScript，從遠(yuǎn)程服務(wù)器下載并執(zhí)行 PowerShell 腳本，由此進(jìn)入真正的感染階段。為了躲避直接訪問(wèn)檢測(cè)，這些惡意服務(wù)器通常會(huì)在瀏覽器訪問(wèn)時(shí)跳轉(zhuǎn)到正常站點(diǎn)，只有遇到 PowerShell 的 iwr/irm 請(qǐng)求才返回有效載荷。

下載的 PowerShell 腳本經(jīng)過(guò)大量混淆，包含垃圾指令、反分析邏輯和持久化機(jī)制，同時(shí)不斷嘗試申請(qǐng)管理員權(quán)限。一旦用戶同意 UAC 請(qǐng)求，腳本會(huì)為多條惡意路徑與 C2 地址創(chuàng)建 Defender 排除項(xiàng)，使后續(xù)載荷能夠順利投遞。

該活動(dòng)的另一個(gè)顯著特征是其“噴灑式載荷”策略。研究人員觀察到攻擊鏈可能一次性投遞多至八種不同類型的惡意程序，包括 Rhadamanthys Stealer、Vidar、RedLine、Amadey 以及其他加載器和遠(yuǎn)控組件。攻擊者顯然希望至少有一種載荷能成功執(zhí)行，以便獲取密碼、加密貨幣錢包、瀏覽器數(shù)據(jù)等敏感信息，并在必要時(shí)繼續(xù)下發(fā)更多模塊。

進(jìn)一步的分析顯示，這類攻擊存在彼此關(guān)聯(lián)的跡象。例如由不同團(tuán)隊(duì)披露的樣本均使用與 mshta.exe 相關(guān)的初始命令，通過(guò) PowerShell 在內(nèi)存中執(zhí)行后續(xù)腳本，并采用類似的域名輪換與路徑切換策略。同時(shí)，有部分樣本在最終階段加載 .NET 程序集和 Donut 打包的 Shellcode，并借助圖像隱寫術(shù)將惡意代碼隱藏在 PNG 文件中，在內(nèi)存中解密后注入目標(biāo)進(jìn)程以完成 Lumma 或 Rhadamanthys 等信息竊取模塊的部署。

綜合這一系列行為可以看出，JackFix 代表了 ClickFix 流派的進(jìn)一步演化。攻擊者不再依賴簡(jiǎn)單的驗(yàn)證碼或“修復(fù)向?qū)А保菢?gòu)建更具沉浸感的系統(tǒng)級(jí)欺騙界面，通過(guò)誘導(dǎo)用戶主動(dòng)執(zhí)行高權(quán)限命令來(lái)突破防護(hù)。由于執(zhí)行入口是由用戶親自觸發(fā)的，絕大多數(shù)安全策略難以在第一時(shí)間阻斷。

面對(duì)此類攻擊，組織級(jí)防護(hù)應(yīng)重點(diǎn)放在用戶教育以及管控關(guān)鍵系統(tǒng)功能。例如通過(guò)組策略禁止普通用戶直接調(diào)用 Windows Run 對(duì)話框、限制 mshta.exe 運(yùn)行、強(qiáng)化 PowerShell 審計(jì)策略等方式，都能顯著降低攻擊面。與此同時(shí)，提高員工對(duì)“復(fù)制粘貼命令”“系統(tǒng)更新提示”“執(zhí)行腳本修復(fù)”的警惕性，也是阻止 ClickFix 系列攻擊的重要手段。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！