ClickFix網釣出現新變種JackFix，假借Windows更新名義引誘使用者上當

要求使用者依照螢幕指示操作，複製命令並貼上執行的網釣攻擊手法ClickFix，後續出現流程完全在瀏覽器進行的變形手法FileFix，如今有歹徒結合覆蓋螢幕畫面的手法，試圖逼迫受害者乖乖就範。

資安業者Acronis揭露一種新型態的ClickFix攻擊活動，歹徒設置假的成人網站引誘用戶上當，然後結合假的Windows更新畫面覆蓋整個螢幕，要求他們依照指示完成「重大安全更新」。假更新的畫面幾可亂真，不僅具備完善的動畫內容，並顯示即時的進度百分比，唯一的差別，是要求使用者必須依照特定的步驟操作，才能真正完成更新。這種新型態的攻擊手法，Acronis稱做JackFix。

雖然假更新畫面與Windows 10採用相同的背景顏色，也有正在執行更新的轉圈圈動畫，但對於較為熟悉正牌更新畫面的使用者來說，正常的更新流程都是自動進行，過程中無須使用者額外介入操作，駭客加上的指示完成安裝步驟，顯得相關怪異；再者，就是網站提示使用者缺少特定元件，而影響網站呈現，通常也是及時安裝特定的元件（如現已停用的Flash），不會要求使用者執行系統更新。但為何駭客搬出覆蓋螢幕的Windows更新畫面能夠讓受害者就範？原因就在於他們看上使用者存取成人網站的預期心理：通常這種網站較不安全，可能會被埋入病毒或惡意程式，此時電腦顯示安裝相關更新的訊息，最好還是乖乖照做，而落入駭客的詭計。

有別於大部分的ClickFix活動，攻擊者主要透過釣魚郵件接觸受害者，引誘他們存取ClickFix網站，JackFix並未依循這樣的攻擊途徑，使用者先存取攻擊者的網站並進行互動，這些網站才會產生Windows更新的覆蓋畫面，迫使受害者必須依照指示操作。換言之，攻擊者無須事先製造危機感或催促使用者儘速處理，就能得逞。

不過，駭客還是要讓使用者知道有這些假成人網站，他們才會掉入陷阱。因此Acronis推測，攻擊者接觸受害者的主要手法，應該是透過販售情趣用品或非法用品的網站惡意廣告，達到目的。

駭客架設的假網站，大多是仿冒俄羅斯成人網站xHamster，但也有仿冒PornHub的情況。這些網站有些會顯示裸露的畫面，看起來像是能夠播放的影片，也有要求使用者驗證年齡是否符合的情況，然而它們的目的完全相同：就是引誘使用者點擊網頁。

只要使用者點選網頁上的任何元件，或是允許顯示通知的授權許可，瀏覽器就會進入全螢幕模式，然後出現假的Windows更新畫面。為了防止受害者按下Esc、F12，或是其他按鍵掙脫騙局，攻擊者加入額外機制。

Acronis根據網站的程式碼進行長期追蹤，他們指出早期程式碼存在俄文註解，代表攻擊者可能來自俄羅斯；再者，部分網站存在已被註解的Flash元件，代表網站可能使用很久以前的範本建置。此外，攻擊者還在註解裡使用一段和平宣言口號，原因不明。

而對於攻擊者捏造的假更新網頁，全部以HTML與JavaScript打造而成，並採用大量混淆手法隱藏ClickFix相關程式碼與有效酬載。一旦使用者依照指示複製、貼上指令，電腦就會執行MSHTA有效酬載，並啟動內部的JavaScript指令碼，執行PowerShell指令，然後從外部伺服器擷取PowerShell指令碼，最終到受害電腦植入竊資軟體，其中包括：Rhadamanthys、Vidar 2.0、RedLine，以及Amadey，但也有使用RAT木馬與其他惡意程式的情況。