Útok sociálního inženýrství FileFixu
Výzkumníci odhalili nedávnou phishingovou kampaň, která využívá variantu techniky sociálního inženýrství FileFix k doručení informačního stealerového kyberzloděje StealC. Kampaň se opírá o propracovaný, vícejazyčný falešný web (mezi pozorované příklady patří falešná stránka „Facebook Security“), silné zatemňovací a anti-analytické triky a neobvyklý řetězec doručování dat, který zneužívá legitimní služby k vyhnutí se odhalení.
Obsah
Jak jsou oběti lákány
Útok obvykle začíná e-mailem, který příjemcům sděluje, že jejich facebookový účet hrozí pozastavení z důvodu údajného porušení zásad a vyzývá je k odvolání. Kliknutí na odkaz pro odvolání přesměruje uživatele na přesvědčivou phishingovou stránku. Tato stránka slibuje PDF soubor s údajným porušením a instruuje uživatele, aby zkopíroval a vložil cestu do Průzkumníka souborů, aby k němu získal přístup, ale přátelský pokyn je lest.
Trik s FileFixem
FileFix se od podobných technik liší v tom, jak zajišťuje lokální spuštění kódu. Místo toho, aby oběti požádal o otevření dialogového okna Spustit a vložení příkazu, FileFix zneužívá funkci prohlížeče pro nahrávání/kopírování souborů, takže oběti vkládají řetězec do adresního řádku Průzkumníka souborů. Viditelný text vypadá jako neškodná cesta k souboru, ale schránka ve skutečnosti obsahuje škodlivý vícestupňový příkaz PowerShellu s koncovými mezerami, takže se po vložení zobrazí pouze neškodná cesta. Když oběť otevře Průzkumník souborů a vloží příkaz, skrytý příkaz se provede lokálně.
Útočný řetězec
Uživatel je přesměrován z phishingového e-mailu na silně zahalený vícejazyčný falešný web.
- Kliknutím na tlačítko webu se spustí tok FileFix a schránka se naplní skrytým příkazem PowerShellu.
- Skript PowerShellu stahuje zdánlivě neškodné obrazy z repozitáře Bitbucket.
- Obrázky jsou dekódovány do další fáze datové zátěže.
- Spustí se zavaděč založený na Go, rozbalí shellcode a nakonec spustí StealC info-stealer.
Zneužívání důvěryhodných hostingových služeb
Operátoři hostují kódované datové části uvnitř obrázků na repozitáři Bitbucket. Použití renomované platformy pro hostování zdrojového kódu pomáhá útočníkům skrýt provoz v jinak legitimních požadavcích a snižuje pravděpodobnost automatického blokování na základě reputace cílové destinace.
Techniky zmatkování a antianalýzy
Phishingové stránky a skripty nejsou jednoduché: operátoři používali pokročilé obfuskace, fragmentaci a nepotřebný kód, aby frustrovali lidské analytiky a automatizované skenery. Infrastruktura je vícejazyčná a propracovaná, což zvyšuje šanci na oklamání uživatelů, kteří nemluví anglicky, a web vypadá autenticky.
FileFix vs. ClickFix
FileFix zneužívá proces nahrávání/kopírování souborů v prohlížeči, takže oběti vkládají soubory do adresního řádku Průzkumníka souborů, místo aby spouštěly dialogové okno Spustit.
ClickFix vyžaduje vložení do dialogového okna Spustit (nebo Terminálu v systému macOS) a spouští se z Explorer.exe nebo terminálové relace.
Praktický dopad : FileFix dokáže obejít obranu, která blokuje použití dialogového okna Spustit, protože místo toho využívá široce používanou funkci prohlížeče.
Nuance detekce : protože FileFix spouští řetězec spuštění prohlížečem oběti, může být aktivita pro monitorování koncových bodů nebo vyšetřování incidentů viditelnější než dialogová okna Spustit, která používá ClickFix – ale stále maří mnoho ochran koncových uživatelů klamáním.
Vyvíjející se techniky aktéra hrozby
Tato kampaň ukazuje promyšlený a dobře financovaný přístup: pečlivě navrženou phishingovou infrastrukturu, vícestupňový návrh dat a využití důvěryhodného hostingu třetích stran pro maximalizaci utajení i operačního dosahu. Zručnost útočníka naznačuje, že se plánoval vyhnout obecné detekci a dosáhnout spolehlivého provedení napříč různými cíli.
