Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Επίθεση Κοινωνικής Μηχανικής FileFix

Επίθεση Κοινωνικής Μηχανικής FileFix

Μέχρι το Mezo το Κακόβουλο λογισμικό, Phishing
Μετάφραση σε:

Ερευνητές αποκάλυψαν μια πρόσφατη καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) που χρησιμοποιεί μια παραλλαγή της τεχνικής κοινωνικής μηχανικής FileFix για την παροχή του κλέφτη πληροφοριών StealC. Η καμπάνια βασίζεται σε έναν στιλβωμένο, πολύγλωσσο ψεύτικο ιστότοπο (παραδείγματα που παρατηρήθηκαν περιλαμβάνουν μια πλαστή σελίδα "Facebook Security"), έντονα κόλπα συσκότισης και κατά της ανάλυσης, καθώς και μια ασυνήθιστη αλυσίδα παράδοσης ωφέλιμου φορτίου που καταχράται νόμιμες υπηρεσίες για να αποφύγει τον εντοπισμό.

Πώς παρασύρονται τα θύματα

Η επίθεση συνήθως ξεκινά με ένα email που ενημερώνει τους παραλήπτες ότι ο λογαριασμός τους στο Facebook κινδυνεύει με αναστολή για φερόμενες παραβιάσεις πολιτικής και τους προτρέπει να υποβάλουν έφεση. Κάνοντας κλικ στον σύνδεσμο έφεσης, ο χρήστης ανακατευθύνεται σε μια πειστική σελίδα ηλεκτρονικού "ψαρέματος" (phishing). Αυτή η σελίδα υπόσχεται ένα PDF της υποτιθέμενης παράβασης και δίνει εντολή στον χρήστη να αντιγράψει και να επικολλήσει μια διαδρομή στην Εξερεύνηση Αρχείων για να αποκτήσει πρόσβαση σε αυτήν, αλλά η φιλική οδηγία είναι ένα τέχνασμα.

Το κόλπο του FileFix

Το FileFix διαφέρει από παρόμοιες τεχνικές στον τρόπο με τον οποίο εκτελεί τον κώδικα τοπικά. Αντί να ζητά από τα θύματα να ανοίξουν το παράθυρο διαλόγου Εκτέλεση και να επικολλήσουν μια εντολή, το FileFix κάνει κακή χρήση της λειτουργικότητας μεταφόρτωσης/αντιγραφής αρχείων του προγράμματος περιήγησης, με αποτέλεσμα τα θύματα να επικολλούν μια συμβολοσειρά στη γραμμή διευθύνσεων της Εξερεύνησης Αρχείων. Το ορατό κείμενο μοιάζει με μια ακίνδυνη διαδρομή αρχείου, αλλά το πρόχειρο περιέχει στην πραγματικότητα μια κακόβουλη εντολή PowerShell πολλαπλών σταδίων με κενά στο τέλος, επομένως εμφανίζεται μόνο η ακίνδυνη διαδρομή κατά την επικόλληση. Όταν το θύμα ανοίγει την Εξερεύνηση Αρχείων και την επικολλά, η κρυφή εντολή εκτελείται τοπικά.

Αλυσίδα Επίθεσης

Ο χρήστης ανακατευθύνεται από ένα email ηλεκτρονικού "ψαρέματος" (phishing) σε έναν πολύπλοκο, πολύγλωσσο ψεύτικο ιστότοπο.

  • Κάνοντας κλικ στο κουμπί της τοποθεσίας ενεργοποιείται η ροή FileFix και το πρόχειρο συμπληρώνεται με μια κρυφή εντολή PowerShell.
  • Το σενάριο PowerShell κατεβάζει φαινομενικά ακίνδυνες εικόνες από ένα αποθετήριο Bitbucket.
  • Οι εικόνες αποκωδικοποιούνται στο ωφέλιμο φορτίο επόμενου σταδίου.
  • Εκτελείται ένας φορτωτής που βασίζεται σε Go, αποσυμπιέζει τον κώδικα shellcode και τέλος εκκινεί τον κλέφτη πληροφοριών StealC.

Κατάχρηση αξιόπιστων υπηρεσιών φιλοξενίας

Οι χειριστές φιλοξενούν κωδικοποιημένα ωφέλιμα φορτία μέσα σε εικόνες σε ένα αποθετήριο Bitbucket. Η χρήση μιας αξιόπιστης πλατφόρμας φιλοξενίας πηγαίου κώδικα βοηθά τους εισβολείς να αποκρύψουν την κίνηση σε κατά τα άλλα νόμιμα αιτήματα και μειώνει την πιθανότητα αυτοματοποιημένου αποκλεισμού με βάση τη φήμη του προορισμού.

Τεχνικές συσκότισης και αντι-ανάλυσης

Οι σελίδες και τα σενάρια ηλεκτρονικού "ψαρέματος" (phishing) δεν είναι απλά: οι χειριστές χρησιμοποίησαν προηγμένη απόκρυψη, κατακερματισμό και ανεπιθύμητο κώδικα για να απογοητεύσουν τους ανθρώπινους αναλυτές και τους αυτοματοποιημένους σαρωτές. Η υποδομή είναι πολύγλωσση και βελτιωμένη, αυξάνοντας την πιθανότητα εξαπάτησης μη αγγλόφωνων και κάνοντας τον ιστότοπο να φαίνεται αυθεντικός.

FileFix εναντίον ClickFix

Το FileFix καταχράται μια ροή μεταφόρτωσης/αντιγραφής αρχείων του προγράμματος περιήγησης, με αποτέλεσμα τα θύματα να κάνουν επικόλληση στη γραμμή διευθύνσεων της Εξερεύνησης Αρχείων αντί να ξεκινούν το παράθυρο διαλόγου Εκτέλεση.

Το ClickFix απαιτεί επικόλληση στο παράθυρο διαλόγου Εκτέλεση (ή στο Τερματικό σε macOS) και δημιουργείται από το Explorer.exe ή από μια συνεδρία τερματικού.

Πρακτικός αντίκτυπος : Το FileFix μπορεί να παρακάμψει άμυνες που εμποδίζουν τη χρήση του παραθύρου διαλόγου "Εκτέλεση", επειδή αξιοποιεί μια ευρέως χρησιμοποιούμενη λειτουργία του προγράμματος περιήγησης.

Απόχρωση ανίχνευσης : επειδή το FileFix περιλαμβάνει την ενεργοποίηση της αλυσίδας εκτέλεσης από το πρόγραμμα περιήγησης του θύματος, η δραστηριότητα μπορεί να είναι πιο ορατή στην παρακολούθηση τελικών σημείων ή στην διερεύνηση συμβάντων από ό,τι στα παράθυρα διαλόγου "Εκτέλεση" που χρησιμοποιούνται από το ClickFix — αλλά εξακολουθεί να ακυρώνει πολλές προστασίες τελικού χρήστη μέσω εξαπάτησης.

Εξελισσόμενες Τεχνικές του Απειλητικού Παράγοντα

Αυτή η καμπάνια δείχνει μια σκόπιμη, καλά εξοπλισμένη προσέγγιση: προσεκτικά σχεδιασμένη υποδομή ηλεκτρονικού "ψαρέματος" (phishing), σχεδιασμός ωφέλιμου φορτίου πολλαπλών σταδίων και χρήση αξιόπιστης φιλοξενίας τρίτων για μεγιστοποίηση τόσο της μυστικότητας όσο και της επιχειρησιακής εμβέλειας. Η τεχνική του εχθρού υποδηλώνει ότι σχεδίαζαν να αποφύγουν τη γενική ανίχνευση και να επιτύχουν αξιόπιστη εκτέλεση σε διάφορους στόχους.

Τάσεις

American Express - Απάτη μέσω email με...

Phishing, Ανεπιθύμητη αλληλογραφία
Ερευνητές κυβερνοασφάλειας εντόπισαν μια κακόβουλη καμπάνια που διανέμει δόλια μηνύματα, γνωστή ως απάτη μέσω email «American Express – Αμφισβητούμενη Συναλλαγή». Αυτά τα μηνύματα προσποιούνται ότι προέρχονται από την American Express, αλλά στην πραγματικότητα είναι εντελώς ψεύτικα. Στόχος της απάτης είναι να ξεγελάσει τους παραλήπτες ώστε να επισκεφτούν έναν ιστότοπο ηλεκτρονικού «ψαρέματος»...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
34,982
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...