СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.11.2025
#ИБ

JackFix: эволюция ClickFix-фишинга с поддельным Windows Update

Недавнее исследование Acronis TRU выявило новую, многоэтапную киберкампанию, получившую название «атака JackFix». Злоумышленники используют сочетание проверенных техник социальной инженерии и усовершенствованных методов маскировки ClickFix, чтобы заставить пользователей выполнить вредоносные команды и загрузить тяжелые PowerShell-пayload’ы. Особенность кампании — применение поддельных веб-сайтов для взрослых, на которых отображается полноэкранное приглашение якобы от Центра обновления Windows.

Как выглядит уловка

Атака начинается с перенаправления жертвы на фишинговый сайт для взрослых. Контекст выбран намеренно: дискомфорт и стыд делают человека более уязвимым и склонным к поспешным действиям. На таких страницах фейковое окно занимает весь экран и имитирует уведомление Windows Update со следующим содержимым:

«Критические обновления для системы безопасности Windows»

Далее жертве предлагается выполнить ряд действий, которые на деле приводят к копированию команд в буфер обмена и запуску вредоносных скриптов через интерфейс браузера — классическая техника ClickFix, адаптированная и усложнённая авторами JackFix.

Технические особенности и этапы атаки

Исследователи Acronis TRU отмечают несколько ключевых технических моментов:

  • Многократные итерации фишинговых сайтов: код сайтов менялся со временем; в ранних версиях обнаружены комментарии на русском языке, которые позднее были удалены — это указывает на возможную связь с русскоязычными операторами.
  • Усовершенствованное запутывание ClickFix: вредоносная полезная нагрузка и команды для буфера обмена маскируются так, чтобы обойти детектирование, ориентированное на типичные HTML/JavaScript-паттерны ClickFix.
  • Встраивание механизма «Windows Update» прямо в HTML/JavaScript страницы: в отличие от предыдущих реализаций, где использовались внешние векторы для имитации обновлений, JackFix реализует поддельный запрос обновления непосредственно на странице фишинга.
  • Двухэтапная доставка полезной нагрузки:
    • Первый этап — серия скриптов небольшой и средней сложности, служащих загрузчиком.
    • Второй этап — большой PowerShell-скрипт: по данным Acronis TRU, объём достигает ~13 МБ, а минимальные версии содержат порядка 20 000 слов, что свидетельствует о значительной сложности и потенциале для дальнейших действий.
  • Финальная загрузка вредоносного ПО: в конце цепочки злоумышленники поставляют несколько типов malware — information stealers и RAT (Remote Access Trojan) — классический «spray-and-pray» подход для охвата максимального числа жертв.

Социальная инженерия как ключевой компонент

Кампания демонстрирует эволюцию методов социальной инженерии: сочетание стыда, страха и срочности заставляет пользователей действовать вопреки базовым правилам безопасности. По мнению аналитиков, именно психоэмоциональный контекст (adult-сайты) повышает вероятность того, что пользователь выполнит предложенные инструкции.

Индикаторы компрометации и рекомендации по защите

Среди примечательных индикаторов и практических рекомендаций —

  • Осторожность при полноэкранных и навязчивых сообщениях о «критических обновлениях» на сайтах, не связанных с Microsoft.
  • Проверка источника и URL-адреса перед выполнением любых инструкций; официальные уведомления Windows Update приходят через системные механизмы, а не через веб-страницы.
  • Блокировка и мониторинг выполнения неожиданных PowerShell-скриптов: именно такие payload’ы используются во втором этапе кампании.
  • Использование современных EDR/XDR-решений: в отчёте отмечено, что Acronis XDR способен обнаружить и блокировать выполнение вредоносной PowerShell-полезной нагрузки этой кампании.
  • Обучение сотрудников и пользователей методам распознавания фишинга и отказ от импульсивных действий под давлением стыда или страха.

Выводы

Кампания JackFix — показательный пример того, как злоумышленники комбинируют технические ухищрения (маскировка ClickFix, большие PowerShell-скрипты) с тонкими приёмами социальной инженерии (использование сайтов для взрослых и имитация Windows Update). Это подчёркивает необходимость комплексной защиты: от технических средств обнаружения и блокировки вредоносных payload’ов до постоянного обучения пользователей и корректной настройки политик безопасности.

Исходные данные: исследование Acronis TRU. Техническое обнаружение и предотвращение по состоянию на дату публикации обеспечиваются средствами Acronis XDR согласно заявлению исследователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: