FileFix Social Engineering-angreb
Forskere har afdækket en nylig phishing-kampagne, der bruger en variant af FileFix social-engineering-teknikken til at levere informationstyveren StealC. Kampagnen er afhængig af en poleret, flersproget falsk hjemmeside (eksempler på observerede inkluderer en forfalsket 'Facebook Security'-side), omfattende tilsløring og anti-analyse tricks samt en usædvanlig payload-leveringskæde, der misbruger legitime tjenester for at undgå at blive opdaget.
Indholdsfortegnelse
Hvordan ofre bliver lokket
Angrebet starter typisk med en e-mail, der fortæller modtagerne, at deres Facebook-konto er i risiko for at blive suspenderet på grund af påståede politikovertrædelser, og opfordrer dem til at appellere. Ved at klikke på appelleringslinket omdirigeres brugeren til en overbevisende phishing-side. Denne side lover en PDF af den påståede overtrædelse og instruerer brugeren i at kopiere og indsætte en sti i Stifinder for at få adgang til den, men den venlige instruktion er et kneb.
FileFix-tricket
FileFix adskiller sig fra lignende teknikker ved, hvordan den får kode udført lokalt. I stedet for at bede ofrene om at åbne dialogboksen Kør og indsætte en kommando, misbruger FileFix browserens filupload-/kopieringsfunktion, så ofrene indsætter en streng i adresselinjen i Stifinderen. Den synlige tekst ligner en uskyldig filsti, men udklipsholderen indeholder faktisk en ondsindet flertrins PowerShell-kommando med efterfølgende mellemrum, så kun den harmløse sti vises, når den indsættes. Når offeret åbner Stifinder og indsætter, udføres den skjulte kommando lokalt.
Angrebskæde
Brugeren omdirigeres fra en phishing-e-mail til et stærkt tilsløret, flersproget, falsk websted.
- Hvis du klikker på webstedets knap, udløses FileFix-flowet, og udklipsholderen udfyldes med en skjult PowerShell-kommando.
- PowerShell-scriptet downloader tilsyneladende godartede billeder fra et Bitbucket-arkiv.
- Billederne afkodes til næste-trins nyttelast.
- En Go-baseret loader udføres, udpakker shellkode og starter endelig StealC info-stealer.
Misbrug af betroede hostingtjenester
Operatørerne hoster kodede nyttelast i billeder på et Bitbucket-lager. Brug af en velrenommeret kildekode-hostingplatform hjælper angriberne med at skjule trafik i ellers legitime anmodninger og reducerer risikoen for automatisk blokering baseret på destinationens omdømme.
Obfuskations- og antianalyseteknikker
Phishing-siderne og -scriptsene er ikke simple: Operatørerne brugte avanceret forvirring, fragmentering og junk code til at frustrere menneskelige analytikere og automatiserede scannere. Infrastrukturen er flersproget og poleret, hvilket øger chancen for at narre ikke-engelsktalende og får webstedet til at virke autentisk.
FileFix vs. ClickFix
FileFix misbruger en browser-filupload/kopieringsproces, så ofrene indsætter filer i Stifinders adresselinje i stedet for at åbne dialogboksen Kør.
ClickFix kræver indsættelse i dialogboksen Kør (eller Terminal på macOS) og startes fra Explorer.exe eller en terminalsession.
Praktisk effekt : FileFix kan omgå forsvar, der blokerer brugen af Kør-dialogboksen, fordi den i stedet udnytter en udbredt browserfunktion.
Detektionsnuance : Da FileFix involverer offerets browser, der udløser udførelseskæden, kan aktiviteten være mere synlig for endpoint-overvågning eller hændelsesundersøgelse end de Run-dialog-gener, der bruges af ClickFix — men den omgås stadig mange slutbrugerbeskyttelser gennem bedrag.
Trusselsaktørernes udviklende teknikker
Denne kampagne viser en bevidst og veludviklet tilgang: omhyggeligt konstrueret phishing-infrastruktur, flertrins payload-design og brug af pålidelig tredjepartshosting for at maksimere både stealth- og operationel rækkevidde. Modstanderens håndværk indikerer, at de planlagde at undgå generisk detektion og opnå pålidelig udførelse på tværs af forskellige mål.
