นักวิจัยความปลอดภัยกำลังจับตาดูแคมเปญมัลแวร์รูปแบบใหม่ที่เล่นกับจิตวิทยาผู้ใช้แบบหนักมือสุดๆ โดยตั้งชื่อมันว่า JackFix ซึ่งเริ่มต้นจากการใช้ลิงก์อีเมลที่พาผู้ใช้ไปยังเว็บไซต์ผู้ใหญ่ปลอมเป็นตัวล่อ เมื่อเหยื่อกดเข้าไปแล้ว ระบบจะทำการเด้งหน้าจออัปเดตปลอมขึ้นมาแบบเต็มหน้าจอทันที พร้อมกับข้อความเร่งด่วนที่บีบให้ผู้ใช้ต้องรีบรันคำสั่งอันตราย ซึ่งทั้งหมดนี้คือกับดักที่ถูกออกแบบมาเพื่อติดตั้งมัลแวร์ลงบนเครื่องของเหยื่อแบบไม่ทันให้ตั้งตัว
ทีม Acronis เป็นผู้ตั้งชื่อการโจมตีนี้ว่า JackFix เนื่องจากมันผสมผสานเทคนิค screen hijacking หรือการยึดหน้าจอ เข้ากับกลยุทธ์ของแคมเปญ ClickFix หน้าจออัปเดตปลอมที่ปรากฏขึ้นมานั้นถูกออกแบบมาให้เหมือนกับ Windows Update จริงๆ มาก ทั้งแอนิเมชัน, เปอร์เซ็นต์ความคืบหน้า, และการแสดงผลแบบเต็มหน้าจอ ทำให้ผู้ใช้จำนวนมากที่กำลังเข้าเว็บไซต์ต้องสงสัยอาจเข้าใจผิดคิดไปว่านี่คือการแจ้งเตือนความปลอดภัยของระบบจริงที่เด้งขึ้นมากะทันหัน
จุดที่ทำให้ JackFix แตกต่างและร้ายกาจกว่า ClickFix รูปแบบเดิมคือการที่แฮกเกอร์จงใจใช้เว็บไซต์ผู้ใหญ่ปลอม ซึ่งเลียนแบบเว็บดังอย่าง xHamster หรือ PornHub เป็นฉากหลัง เมื่อมีหน้าจอแจ้งเตือนว่าเป็น Critical Windows Security Update เด้งขึ้นมาอย่างกะทันหัน ผู้ใช้ที่กำลังรู้สึกผิดหรืออยู่ในภาวะตกใจจะยิ่งเกิดความระแวงและอาจตัดสินใจหลงเชื่อทำตามคำสั่งเร่งด่วนได้ง่ายกว่าสถานการณ์ปกติ ทำให้พวกเขายอมรันคำสั่งที่เป็นอันตรายโดยไม่ลังเล
แน่นอนว่าผลลัพธ์สุดท้ายของแคมเปญนี้คือการหลอกให้เหยื่อรันคำสั่งเพื่อติดตั้งมัลแวร์ infostealer ลงบนเครื่อง ซึ่งมักจะเป็นมัลแวร์ขโมยข้อมูลตระกูลดังอย่าง LummaC2 และ Rhadamanthys ที่ทีม Huntress เคยออกมาเตือนภัย นอกจากนี้ยังมีการตรวจพบการโจมตีที่มีความซับซ้อนอื่นๆ เช่น การใช้เทคนิค steganography เพื่อซ่อนโค้ดอันตรายไว้ในไฟล์ภาพ PNG รวมถึงการใช้ Fullscreen API ในเบราว์เซอร์ เพื่อสร้างหน้าจออัปเดตปลอมที่ดูเหมือนระบบควบคุมเครื่อง เพื่อหลอกส่ง infostealer ให้เหยื่อ
แม้ว่ากลุ่มผู้โจมตีจะพัฒนารูปแบบและกลไกใหม่ๆ ขึ้นมาอย่างต่อเนื่อง แต่หลักการรับมือยังคงเหมือนเดิมเสมอ นั่นคือ ห้ามคัดลอกหรือรันคำสั่งใดๆ จากป๊อปอัป อีเมล หรือเว็บไซต์ที่ไม่น่าไว้วางใจเด็ดขาด และควรหลีกเลี่ยงการกดลิงก์แปลกๆ ที่ส่งมาทางอีเมล โดยเฉพาะลิงก์ที่พาไปยังเว็บไซต์ผู้ใหญ่ หากจำเป็นต้องเข้าเว็บใดๆ ควรพิมพ์ URL ด้วยตัวเองทุกครั้งเพื่อหลีกเลี่ยงกับดักที่อาจซ่อนอยู่
และที่สำคัญที่สุดคือ อย่าตกใจหากได้รับอีเมลแบล็กเมลที่อ้างว่าแฮกเครื่องคุณได้แล้วและมีภาพลับจากเว็บผู้ใหญ่ ส่วนมากมักเป็นการปลอมอีเมลเพื่อกดดันทางจิตใจเท่านั้น หากผู้โจมตีเข้าถึงเครื่องคุณได้จริง พวกเขาจะมีหลักฐานชัดเจนมาแสดง ไม่ใช่แค่ข้อความขู่ลอยๆ ทางที่ถูกต้องคือ ไม่ตอบ ไม่คลิก ไม่จ่ายเงิน แล้วลบทิ้งทันที จากนั้นตั้งใจสแกนเครื่องและเปลี่ยนรหัสผ่านสำคัญทั้งหมดเพื่อความปลอดภัยในระยะยาว
