Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Atac d'enginyeria social de FileFix

Atac d'enginyeria social de FileFix

El Mezo el Programari maliciós, Phishing
Traduir a:

Investigadors han descobert una campanya recent de phishing que utilitza una variant de la tècnica d'enginyeria social FileFix per distribuir el lladre d'informació StealC. La campanya es basa en un lloc web fals i multilingüe polit (entre els exemples observats hi ha una pàgina falsa de "Seguretat de Facebook"), trucs d'ofuscació i antianàlisi importants, i una cadena de lliurament de càrrega útil inusual que abusa dels serveis legítims per evadir la detecció.

Com s’atrauen les víctimes

L'atac normalment comença amb un correu electrònic que informa als destinataris que el seu compte de Facebook corre el risc de ser suspès per presumptes infraccions de les polítiques i els insta a apel·lar. En fer clic a l'enllaç d'apel·lació, l'usuari es redirigeix a una pàgina de phishing convincent. Aquesta pàgina promet un PDF de la suposada infracció i indica a l'usuari que copiï i enganxi una ruta a l'Explorador de fitxers per accedir-hi, però la instrucció amable és una estratagema.

El truc de FileFix

FileFix es diferencia de tècniques similars en la manera com executa el codi localment. En lloc de demanar a les víctimes que obrin el quadre de diàleg Executa i enganxin una ordre, FileFix fa un mal ús de la funcionalitat de càrrega/còpia de fitxers del navegador perquè les víctimes enganxin una cadena a la barra d'adreces de l'Explorador de fitxers. El text visible sembla una ruta de fitxer inofensiva, però el porta-retalls en realitat conté una ordre maliciosa de PowerShell de diverses etapes amb espais finals, de manera que només apareix la ruta inofensiva quan s'enganxa. Quan la víctima obre l'Explorador de fitxers i enganxa, l'ordre oculta s'executa localment.

Cadena d’atac

L'usuari és redirigit des d'un correu electrònic de phishing a un lloc web fals multilingüe molt ofuscat.

  • En fer clic al botó del lloc web, s'activa el flux FileFix i el porta-retalls s'omple amb una ordre oculta del PowerShell.
  • L'script de PowerShell descarrega imatges aparentment benignes d'un repositori de Bitbucket.
  • Les imatges es descodifican a la càrrega útil de la següent etapa.
  • S'executa un carregador basat en Go, desempaqueta el shellcode i finalment llança l'info-stealer StealC.

Abús de serveis d’allotjament de confiança

Els operadors allotgen càrregues útils codificades dins d'imatges en un repositori de Bitbucket. L'ús d'una plataforma d'allotjament de codi font de bona reputació ajuda els atacants a amagar el trànsit en sol·licituds que d'altra banda serien legítimes i redueix la possibilitat de bloqueig automatitzat basat en la reputació de la destinació.

Tècniques d’ofuscació i antianàlisi

Les pàgines i els scripts de phishing no són senzills: els operadors utilitzaven ofuscació avançada, fragmentació i codi brossa per frustrar els analistes humans i els escàners automatitzats. La infraestructura és multilingüe i polida, cosa que augmenta la possibilitat d'enganyar persones que no parlen anglès i fa que el lloc sembli autèntic.

FileFix vs ClickFix

FileFix abusa d'un flux de càrrega/còpia de fitxers del navegador, de manera que les víctimes enganxen el fitxer a la barra d'adreces de l'Explorador de fitxers en comptes d'obrir el quadre de diàleg Executa.

ClickFix requereix enganxar-lo al quadre de diàleg Executa (o Terminal a macOS) i es genera des d'Explorer.exe o una sessió de terminal.

Impacte pràctic : FileFix pot evitar les defenses que bloquegen l'ús del quadre de diàleg Executa, ja que aprofita una funció del navegador molt utilitzada.

Matisos de detecció : com que FileFix implica que el navegador de la víctima activi la cadena d'execució, l'activitat pot ser més visible per a la supervisió del punt final o la investigació d'incidents que les finestres de diàleg d'execució utilitzades per ClickFix, però encara frustra moltes proteccions de l'usuari final mitjançant l'engany.

Tècniques en evolució de l’actor amenaçador

Aquesta campanya mostra un enfocament deliberat i amb molts recursos: una infraestructura de phishing acuradament dissenyada, un disseny de càrrega útil multietapa i l'ús d'allotjament de tercers de confiança per maximitzar tant l'abast sigil·lós com operatiu. L'habilitat comercial de l'adversari indica que tenien previst evitar la detecció genèrica i aconseguir una execució fiable en diversos objectius.

Tendència

American Express - Estafa de correu electrònic sobre...

Phishing, Correu brossa
Investigadors de ciberseguretat han identificat una campanya maliciosa que distribueix missatges fraudulents coneguda com l'estafa de correu electrònic "American Express - Transacció en disputa". Aquests missatges fan veure que provenen d'American Express, però en realitat són completament falsos. L'objectiu de l'estafa és enganyar els destinataris perquè visitin un lloc web de phishing i...

Més vist

Carregant...