【安全圈】JackFix 假冒 Windows 更新全屏界面誘導(dǎo)執(zhí)行惡意命令

關(guān)鍵詞

網(wǎng)絡(luò)攻擊

近期，一類被稱為 JackFix 的 ClickFix 攻擊變體受到安全研究團隊關(guān)注。攻擊者利用高度偽裝的虛假 Windows 更新界面誘導(dǎo)受害者主動執(zhí)行惡意命令，從而開啟多階段感染鏈。與傳統(tǒng)偽造“系統(tǒng)修復(fù)”“機器人驗證”類誘導(dǎo)不同，這一活動將攻擊界面?zhèn)窝b得近乎原生系統(tǒng)提示，并通過全屏覆蓋制造緊迫感，使用戶誤以為操作系統(tǒng)出現(xiàn)了嚴重錯誤。

研究人員分析發(fā)現(xiàn)，這些偽造的更新界面由 HTML 與 JavaScript 構(gòu)建，會在受害者訪問特定站點后立即彈出，并嘗試通過前端腳本強制進入全屏模式，營造類似 Windows 更新或藍屏恢復(fù)環(huán)境的視覺效果。同時，腳本會屏蔽 Escape、F11、F5、F12 等常用退出指令，以延遲用戶逃離界面的可能性。盡管由于邏輯缺陷仍能被繞過，但多數(shù)非技術(shù)用戶易被迷惑并按提示操作。

最關(guān)鍵的誘導(dǎo)步驟是讓受害者打開 Windows 運行框、粘貼預(yù)置的命令并按下回車鍵。此命令通過合法系統(tǒng)文件 mshta.exe 調(diào)用嵌入式 JavaScript，從遠程服務(wù)器下載并執(zhí)行 PowerShell 腳本，由此進入真正的感染階段。為了躲避直接訪問檢測，這些惡意服務(wù)器通常會在瀏覽器訪問時跳轉(zhuǎn)到正常站點，只有遇到 PowerShell 的 iwr/irm 請求才返回有效載荷。

下載的 PowerShell 腳本經(jīng)過大量混淆，包含垃圾指令、反分析邏輯和持久化機制，同時不斷嘗試申請管理員權(quán)限。一旦用戶同意 UAC 請求，腳本會為多條惡意路徑與 C2 地址創(chuàng)建 Defender 排除項，使后續(xù)載荷能夠順利投遞。

該活動的另一個顯著特征是其“噴灑式載荷”策略。研究人員觀察到攻擊鏈可能一次性投遞多至八種不同類型的惡意程序，包括 Rhadamanthys Stealer、Vidar、RedLine、Amadey 以及其他加載器和遠控組件。攻擊者顯然希望至少有一種載荷能成功執(zhí)行，以便獲取密碼、加密貨幣錢包、瀏覽器數(shù)據(jù)等敏感信息，并在必要時繼續(xù)下發(fā)更多模塊。

進一步的分析顯示，這類攻擊存在彼此關(guān)聯(lián)的跡象。例如由不同團隊披露的樣本均使用與 mshta.exe 相關(guān)的初始命令，通過 PowerShell 在內(nèi)存中執(zhí)行后續(xù)腳本，并采用類似的域名輪換與路徑切換策略。同時，有部分樣本在最終階段加載 .NET 程序集和 Donut 打包的 Shellcode，并借助圖像隱寫術(shù)將惡意代碼隱藏在 PNG 文件中，在內(nèi)存中解密后注入目標進程以完成 Lumma 或 Rhadamanthys 等信息竊取模塊的部署。

綜合這一系列行為可以看出，JackFix 代表了 ClickFix 流派的進一步演化。攻擊者不再依賴簡單的驗證碼或“修復(fù)向?qū)А保菢?gòu)建更具沉浸感的系統(tǒng)級欺騙界面，通過誘導(dǎo)用戶主動執(zhí)行高權(quán)限命令來突破防護。由于執(zhí)行入口是由用戶親自觸發(fā)的，絕大多數(shù)安全策略難以在第一時間阻斷。

面對此類攻擊，組織級防護應(yīng)重點放在用戶教育以及管控關(guān)鍵系統(tǒng)功能。例如通過組策略禁止普通用戶直接調(diào)用 Windows Run 對話框、限制 mshta.exe 運行、強化 PowerShell 審計策略等方式，都能顯著降低攻擊面。與此同時，提高員工對“復(fù)制粘貼命令”“系統(tǒng)更新提示”“執(zhí)行腳本修復(fù)”的警惕性，也是阻止 ClickFix 系列攻擊的重要手段。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！