Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Атака чрез социално инженерство на FileFix

Атака чрез социално инженерство на FileFix

До Mezo през Зловреден софтуер, Фишингг
Превод на:

Изследователи разкриха скорошна фишинг кампания, която използва вариант на техниката за социално инженерство FileFix, за да достави информационния крадец StealC. Кампанията разчита на изпипан, многоезичен фалшив сайт (наблюдаваните примери включват фалшива страница „Facebook Security“), тежки трикове за обфускация и анти-анализ, както и необичайна верига за доставка на полезен товар, която злоупотребява с легитимни услуги, за да избегне откриването.

Как жертвите са примамени

Атаката обикновено започва с имейл, в който на получателите се казва, че акаунтът им във Facebook е изложен на риск от спиране поради предполагаеми нарушения на правилата и се призовават да обжалват. Щракването върху връзката за обжалване пренасочва потребителя към убедителна фишинг страница. Тази страница обещава PDF файл с предполагаемото нарушение и инструктира потребителя да копира и постави път в File Explorer, за да получи достъп до него, но приятелската инструкция е хитрост.

Трикът с FileFix

FileFix се различава от подобни техники по начина, по който изпълнява код локално. Вместо да моли жертвите да отворят диалоговия прозорец „Изпълнение“ и да поставят команда, FileFix злоупотребява с функцията за качване/копиране на файлове на браузъра, така че жертвите поставят низ в адресната лента на File Explorer. Видимият текст изглежда като безобиден път до файла, но клипбордът всъщност съдържа злонамерена многоетапна PowerShell команда с интервали в края, така че при поставяне се показва само безобидният път. Когато жертвата отвори File Explorer и постави командата, скритата команда се изпълнява локално.

Верига за атака

Потребителят е пренасочен от фишинг имейл към силно замаскиран многоезичен фалшив сайт.

  • Щракването върху бутона на сайта задейства потока FileFix и клипбордът се попълва със скрита PowerShell команда.
  • Скриптът PowerShell изтегля привидно безобидни изображения от хранилище на Bitbucket.
  • Изображенията се декодират в полезния товар от следващия етап.
  • Изпълнява се програма за зареждане, базирана на Go, която разопакова шел кода и накрая стартира StealC info-stealer.

Злоупотреба с услуги за надежден хостинг

Операторите хостват кодирани полезни товари в изображения в хранилище на Bitbucket. Използването на реномирана платформа за хостинг на изходен код помага на атакуващите да скрият трафика в иначе легитимни заявки и намалява вероятността от автоматично блокиране въз основа на репутацията на дестинацията.

Техники за обфускация и анти-анализ

Фишинг страниците и скриптовете не са прости: операторите са използвали усъвършенствано обфускация, фрагментация и нежелан код, за да осуетят човешките анализатори и автоматизираните скенери. Инфраструктурата е многоезична и изпипана, което увеличава шанса за измама на хора, които не говорят английски език, и прави сайта да изглежда автентичен.

FileFix срещу ClickFix

FileFix злоупотребява с процеса на качване/копиране на файлове в браузъра, така че жертвите поставят файловете в адресната лента на File Explorer, вместо да стартират диалоговия прозорец „Изпълнение“.

ClickFix изисква поставяне в диалоговия прозорец „Изпълнение“ (или „Терминал“ в macOS) и се стартира от Explorer.exe или терминална сесия.

Практическо въздействие : FileFix може да заобиколи защитите, които блокират използването на диалоговия прозорец „Изпълнение“, защото вместо това използва широко използвана функция на браузъра.

Нюанс при откриване : тъй като FileFix включва браузъра на жертвата, който задейства веригата за изпълнение, активността може да е по-видима за наблюдение на крайните точки или разследване на инциденти, отколкото диалоговите прозорци за изпълнение, използвани от ClickFix, но все пак това обезсмисля много защити на крайните потребители чрез измама.

Развиващи се техники на заплашителния актьор

Тази кампания показва обмислен, добре обезпечен с ресурси подход: внимателно проектирана фишинг инфраструктура, многоетапен дизайн на полезния товар и използване на надежден хостинг от трети страни, за да се увеличи максимално както скритостта, така и оперативният обхват. Търговските умения на противника показват, че е планирал да избегне общото откриване и да постигне надеждно изпълнение срещу различни цели.

Тенденция

ElementryCheck

Рекламен софтуер, Зловреден софтуер за Mac, Потенциално нежелани програми
Приложение за натрапчив рекламен софтуер, ElementaryCheck съществува с единствената цел да генерира пари за своите оператори чрез провеждане на натрапчиви рекламни кампании. Освен това, според...

American Express - Измама с оспорени транзакции по...

Фишинг, Спам
Изследователи по киберсигурност са идентифицирали злонамерена кампания, разпространяваща измамни съобщения, известни като имейл измамата „American Express – Disputed Transaction“. Тези съобщения се преструват, че идват от American Express, но в действителност са изцяло фалшиви. Целта на измамата е да подмами получателите да посетят фишинг уебсайт и да предадат чувствителна информация, като...

Най-гледан

Зареждане...