Исследователи Acronis зафиксировали кампанию JackFix, использующую malvertising для перенаправления пользователей на фальшивые сайты, такие как клоны xHamster и PornHub. Кампания нацелена на запуск команды ClickFix путем открытия диалога Выполнить.
Процесс заражения
На первом этапе атаки используется mshta.exe для запуска JavaScript, который загружает PowerShell команду. Этот сценарий скрыт путем обращения только через PowerShell. В нем также содержится код для повышения привилегий, создающий исключения для Microsoft Defender.
- Кампания идентифицирована 2025-11-25, глобальная цель.
- Используются фальшивые обновления Windows для привлечения внимания.
- Включены вредоносные файлы Rhadamanthys Stealer и Vidar Stealer 2.0.
Меры предосторожности
Исследователи советуют организациям обучать пользователей распознавать подобные угрозы. Блокировка malvertising и отключение диалога "Выполнить" через реестр Windows может снизить угрозу.
