هجوم الهندسة الاجتماعية FileFix

كشف باحثون عن حملة تصيد احتيالي حديثة تستخدم نسخةً من تقنية الهندسة الاجتماعية FileFix لإيصال برنامج StealC لسرقة المعلومات. تعتمد الحملة على موقع مزيف متعدد اللغات ومنمق (من الأمثلة التي لوحظت صفحة "أمان فيسبوك" مزيفة)، وأساليب تعتيم وتشويش مكثفة، وسلسلة توصيل حمولات غير مألوفة تستغل الخدمات الشرعية لتجنب الكشف.

كيف يتم إغراء الضحايا

يبدأ الهجوم عادةً برسالة بريد إلكتروني تُبلغ المُستلِم بأن حسابه على فيسبوك مُعرَّض لخطر التعليق بسبب انتهاكات مزعومة للسياسة، وتحثه على الاعتراض. يؤدي النقر على رابط الاعتراض إلى إعادة توجيه المستخدم إلى صفحة تصيد احتيالي مُقنعة. تُعِد هذه الصفحة بملف PDF للانتهاك المزعوم، وتُوجِّه المستخدم بنسخ مسار إلى مستكشف الملفات للوصول إليه، لكن هذه التعليمات الودية ما هي إلا خدعة.

خدعة FileFix

يختلف FileFix عن التقنيات المشابهة في كيفية تنفيذ الشيفرة البرمجية محليًا. فبدلًا من مطالبة الضحايا بفتح نافذة التشغيل ولصق أمر، يُسيء FileFix استخدام وظيفة تحميل/نسخ الملفات في المتصفح، فيلصق الضحايا سلسلة نصية في شريط عناوين مستكشف الملفات. يبدو النص المرئي كمسار ملف غير ضار، لكن الحافظة تحتوي في الواقع على أمر PowerShell خبيث متعدد المراحل مع مسافات زائدة، بحيث يظهر المسار غير الضار فقط عند اللصق. عندما يفتح الضحية مستكشف الملفات ويلصق، يُنفذ الأمر المخفي محليًا.

سلسلة الهجوم

يتم إعادة توجيه المستخدم من رسالة بريد إلكتروني احتيالية إلى موقع مزيف متعدد اللغات ومُعمّم بشكل كبير.

• النقر على زر الموقع يؤدي إلى تشغيل تدفق FileFix، ويتم ملء الحافظة بأمر PowerShell مخفي.
• يقوم البرنامج النصي PowerShell بتنزيل صور تبدو حميدة من مستودع Bitbucket.
• يتم فك تشفير الصور إلى الحمولة الخاصة بالمرحلة التالية.
• يتم تنفيذ محمل قائم على Go، وفك ضغط shellcode، وأخيرًا تشغيل info-stealer StealC.

إساءة استخدام خدمات الاستضافة الموثوقة

يستضيف المشغّلون حمولات مشفرة داخل صور على مستودع Bitbucket. يساعد استخدام منصة استضافة أكواد مصدرية موثوقة المهاجمين على إخفاء حركة البيانات في الطلبات المشروعة، ويقلل من احتمالية الحظر التلقائي بناءً على سمعة الوجهة.

تقنيات التعتيم والتحليل المضاد

صفحات التصيد الاحتيالي ونصوصه ليست بسيطة: فقد استخدم مشغلوها أساليب تشويش وتجزئة وأكوادًا غير مرغوب فيها متطورة لإحباط المحللين البشريين والماسحات الضوئية الآلية. البنية التحتية متعددة اللغات ومُحسّنة، مما يزيد من احتمالية خداع غير الناطقين باللغة الإنجليزية ويجعل الموقع يبدو أصليًا.

FileFix مقابل ClickFix

يستغل FileFix تدفق تحميل/نسخ الملفات في المتصفح حتى يقوم الضحايا بلصق الملف في شريط عنوان مستكشف الملفات بدلاً من تشغيل مربع الحوار "تشغيل".

يتطلب ClickFix اللصق في مربع الحوار "تشغيل" (أو المحطة الطرفية على macOS) ويتم إنشاؤه من Explorer.exe أو جلسة المحطة الطرفية.

التأثير العملي : يمكن لبرنامج FileFix تجاوز الدفاعات التي تمنع استخدام مربع الحوار "تشغيل"، وذلك لأنه يستفيد من ميزة متصفح مستخدمة على نطاق واسع بدلاً من ذلك.

الفروق الدقيقة في الاكتشاف : نظرًا لأن FileFix يتضمن قيام متصفح الضحية بتشغيل سلسلة التنفيذ، فقد يكون النشاط أكثر وضوحًا لمراقبة نقطة النهاية أو التحقيق في الحوادث من مربع الحوار Run الذي يستخدمه ClickFix - لكنه لا يزال يفشل في إحباط العديد من وسائل حماية المستخدم النهائي من خلال الخداع.

تقنيات الجهات الفاعلة في التهديد المتطورة

تُظهر هذه الحملة نهجًا مدروسًا ومُجهّزًا جيدًا: بنية تحتية مُصمّمة بعناية للتصيّد الاحتيالي، وتصميم حمولة متعددة المراحل، واستخدام استضافة خارجية موثوقة لتعظيم نطاق التخفي والنطاق التشغيلي. تشير أساليب العدوّ إلى أنه خطط لتجنب الكشف العام وتحقيق تنفيذ موثوق عبر أهداف متنوعة.