Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Campaña de malware JackFix

Campaña de malware JackFix

Por Mezo en Software malicioso
Traducir a:

Una investigación reciente destaca una creciente ola de ataques que explotan la ingeniería social similar a ClickFix. Estos esquemas se basan en convencer a las víctimas para que ejecuten comandos dañinos, a menudo mediante indicaciones técnicas simuladas. La última operación lleva esta táctica aún más lejos al combinarla con sitios web falsos para adultos y avisos de actualización de Windows falsificados, formando una cadena de infección altamente manipuladora que los equipos de seguridad han denominado JackFix.

Portales de phishing con temática para adultos como punto de entrada

La campaña comienza con sitios fraudulentos para adultos, diseñados para simular plataformas conocidas, que se distribuyen mediante publicidad maliciosa y otras técnicas de redireccionamiento. Cuando los usuarios acceden a estas páginas, se enfrentan rápidamente a un mensaje de actualización urgente, presentado como una notificación crítica de seguridad de Windows. El tema para adultos amplifica la presión psicológica, haciendo que la repentina solicitud de actualización parezca plausible y disuadiendo a los usuarios de cuestionar su autenticidad.

Algunas variantes de estos sitios contienen comentarios de los desarrolladores en ruso, lo que sugiere una posible conexión con un grupo de amenazas de habla rusa.

Alertas engañosas de actualización de pantalla completa

Una vez que un visitante interactúa con la página fraudulenta, los componentes HTML y JavaScript abren instantáneamente una imitación a pantalla completa de un cuadro de diálogo de actualización de Windows. La interfaz utiliza un fondo azul y texto blanco simple, similar al estilo de los mensajes de sistema de alta urgencia. JavaScript intenta forzar el modo de pantalla completa, mientras que código adicional intenta bloquear las teclas de escape comunes, como Escape, F11, F5 y F12, para atrapar al usuario en la actualización falsa.
A pesar de esto, los errores de implementación permiten que Escape y F11 sigan funcionando, brindando a los usuarios una posible salida.

La clave del engaño reside en las instrucciones que se muestran a la víctima: abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando precopiado y ejecutarlo. Al seguir estos pasos, se ejecuta la carga maliciosa y se inicia la vulneración.

El dominio de ClickFix y la evolución del ataque

La actividad de ClickFix ha aumentado drásticamente, representando ahora casi la mitad de los accesos iniciales documentados. Tradicionalmente, estas amenazas se hacen pasar por comprobaciones de CAPTCHA o mensajes de solución de problemas. La campaña JackFix marca un cambio hacia señuelos más inmersivos y sistemáticos, mostrando cómo los atacantes perfeccionan continuamente la manipulación psicológica para lograr la ejecución de código asistida por el usuario.

Ofuscación en capas y entrega de carga activada por comandos

El primer comando ejecutado en el equipo de la víctima utiliza mshta.exe para ejecutar una carga útil MSHTA que contiene JavaScript. Este script invoca un comando de PowerShell que recupera otra etapa de PowerShell de un servidor remoto. Para evadir el escrutinio, los dominios asociados redirigen a sitios web inofensivos como Google o Steam al acceder manualmente. Solo las solicitudes realizadas mediante comandos específicos de PowerShell, como irm o iwr, activan la respuesta maliciosa, lo que añade una importante barrera de análisis.

El script de PowerShell descargado incluye una ofuscación importante: código basura, lógica oculta y comprobaciones diseñadas para dificultar la ingeniería inversa. También intenta la escalada de privilegios y añade exclusiones de antivirus vinculadas a los endpoints C2 y los directorios de staging.

Escalada forzada de privilegios y despliegue de carga útil

La supresión de privilegios se realiza mediante el cmdlet Start‑Process con el parámetro -Verb RunAs, solicitando repetidamente a la víctima hasta que se le concedan los derechos administrativos. Una vez elevados, el script implementa componentes adicionales, a menudo troyanos ligeros de acceso remoto diseñados para contactar con un servidor C2 y obtener más malware.

Un arsenal diverso de ladrones y cargadores

Se ha observado que el malware distribuye hasta ocho cargas útiles distintas, entre ellas:

  • Ladrón de Rhadamanthys, Ladrón de Vidar 2.0, Ladrón de RedLine, Amadey
  • Otros cargadores y RAT utilizados para realizar amenazas posteriores

Una sola ejecución exitosa basta para poner en riesgo datos confidenciales. Las víctimas se enfrentan a la pérdida de credenciales, criptomonedas y otra información personal. Algunos cargadores también permiten a los atacantes extender la intrusión con malware más potente, lo que aumenta significativamente el impacto.

Tendencias

UPS - Acción necesaria para su envío fraudulento

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes suelen camuflar sus campañas de phishing como actualizaciones de entrega, y la estafa "UPS - Acción requerida para su envío" es un claro ejemplo. Aunque parece provenir de una empresa de mensajería de confianza, no está asociada con ninguna empresa, organización o proveedor de servicios legítimos. Los correos electrónicos imitan avisos de envío reales para engañar a los...

Mas Visto

Cargando...