Negli ultimi tempi si sta diffondendo una nuova campagna di attacchi informatici chiamata JackFix, che sfrutta falsi popup di aggiornamento di Windows su siti per adulti per infettare i sistemi degli utenti con vari tipi di malware, in particolare stealer. Gli attacchi si basano su tecniche di malvertising e ingegneria sociale, portando gli utenti a credere che sia necessario eseguire un aggiornamento critico di sicurezza di Windows. In realtà, si tratta di una trappola progettata per indurre la vittima a eseguire manualmente dei comandi che avviano la catena infettiva.

La dinamica dell’attacco JackFix

La truffa inizia tipicamente con il reindirizzamento verso falsi siti per adulti, che mostrano una schermata di aggiornamento di Windows creata con HTML e JavaScript. Questa schermata va a schermo intero e blocca molte funzioni del browser, aumentando la pressione psicologica sulla vittima che si sente spinta a seguire le istruzioni indicate. Il falso aggiornamento suggerisce di aprire la finestra Esegui di Windows, incollare un comando fornito e premere invio. In questo modo, la vittima stessa attiva una sequenza di comandi dannosi.

Il primo comando eseguito lancia mshta.exe, un componente legittimo di Windows, che scarica e avvia uno script PowerShell offuscato proveniente da un server remoto. Questo script utilizza vari stratagemmi per evitare l’analisi e la rilevazione da parte degli antivirus, come la presenza di codice spazzatura e la richiesta continua di privilegi amministrativi tramite UAC. Una volta ottenuti i permessi necessari, lo script PowerShell scarica e avvia altri payload, tra cui trojan di accesso remoto e diversi stealer come Rhadamanthys, Vidar, RedLine e Amadey.

Un attacco multi-payload

Un dettaglio interessante del metodo JackFix è la capacità di servire molteplici payload, aumentando le probabilità che almeno uno di essi riesca a compromettere la macchina della vittima. Questo approccio “spray and pray” può portare a furti di password, portafogli di criptovalute e altri dati sensibili. In alcuni casi, i loader possono scaricare ulteriori malware successivamente, aggravando ulteriormente il danno potenziale.

Come difendersi

La campagna JackFix rappresenta l’evoluzione delle minacce ClickFix, che negli ultimi mesi si sono imposte come tecnica prevalente per ottenere l’accesso iniziale ai sistemi Windows, superando anche le classiche pagine di verifica CAPTCHA. Gli esperti consigliano di mantenere alta l’attenzione su questo tipo di attacchi, formare i dipendenti e, dove possibile, disabilitare la finestra Esegui tramite criteri di gruppo o modifiche al registro di sistema.