FileFix sotsiaalse manipuleerimise rünnak
Teadlased on paljastanud hiljutise andmepüügikampaania, mis kasutab StealC infovarastaja edastamiseks FileFixi sotsiaalse manipuleerimise tehnika varianti. Kampaania tugineb lihvitud, mitmekeelsele võltsveebisaidile (näidete hulgas on võltsitud „Facebooki turvalisuse” leht), ulatuslikele hägustamise ja analüüsivastastele trikkidele ning ebatavalisele kasuliku teabe edastusahelale, mis kuritarvitab legitiimseid teenuseid avastamise vältimiseks.
Sisukord
Kuidas ohvreid meelitatakse
Rünnak algab tavaliselt e-kirjaga, milles teatatakse saajatele, et nende Facebooki konto võidakse väidetavate eeskirjade rikkumiste tõttu peatada, ja kutsutakse neid üles edasi kaebama. Edasikaebuse lingile klõpsamine suunab kasutaja veenvale andmepüügilehele. See leht lubab väidetava rikkumise PDF-faili ja juhendab kasutajat sellele juurdepääsuks tee failihaldurisse kopeerima ja kleepima, kuid see sõbralik juhis on pettus.
FileFixi trikk
FileFix erineb sarnastest tehnikatest selle poolest, kuidas kood lokaalselt käivitatakse. Selle asemel, et paluda ohvritel avada dialoogiaken Käivita ja sealt käsk kleepida, kuritarvitab FileFix brauseri failide üleslaadimise/kopeerimise funktsiooni, nii et ohvrid kleebivad File Exploreri aadressiribale stringi. Nähtav tekst näeb välja nagu süütu failitee, kuid lõikelaual on tegelikult pahatahtlik mitmeastmeline PowerShelli käsk tühikutega, seega kuvatakse kleepimisel ainult süütu tee. Kui ohver avab File Exploreri ja kleebib, käivitatakse peidetud käsk lokaalselt.
Rünnakuahel
Kasutaja suunatakse andmepüügikirjast tugevalt segasele mitmekeelsele võltsitud saidile.
- Saidi nupule klõpsamine käivitab FileFixi voo ja lõikelauale lisatakse peidetud PowerShelli käsk.
- PowerShelli skript laadib Bitbucketi hoidlast alla pealtnäha ohutud pildid.
- Pildid dekodeeritakse järgmise etapi kasulikku koormusse.
- Käivitatakse Go-põhine laadur, mis pakib lahti shellikoodi ja lõpuks käivitab StealC infovarastaja.
Usaldusväärsete hostimisteenuste kuritarvitamine
Operaatorid majutavad kodeeritud kasulikke koormusi Bitbucketi repositooriumis piltide sees. Hea mainega lähtekoodi majutamise platvormi kasutamine aitab ründajatel varjata liiklust muidu õigustatud päringutes ja vähendab sihtkoha maine põhjal automaatse blokeerimise võimalust.
Hämamine ja analüüsivastased tehnikad
Õngitsuslehed ja -skriptid pole lihtsad: operaatorid kasutasid täiustatud hägustamist, fragmenteerimist ja rämpskoodi, et ärritada inimanalüütikuid ja automatiseeritud skannereid. Taristu on mitmekeelne ja viimistletud, mis suurendab võimalust petta mitte-inglise keelt kõnelevaid inimesi ja jätta sait autentse mulje.
FileFix vs ClickFix
FileFix kuritarvitab brauseri failide üleslaadimise/kopeerimise voogu, nii et ohvrid kleebivad failid File Exploreri aadressiribale, selle asemel et avada dialoogiaken Käivita.
ClickFix nõuab kleepimist dialoogiboksi Käivita (või macOS-is terminali) ja see käivitatakse Explorer.exe-st või terminaliseansist.
Praktiline mõju : FileFix suudab mööda hiilida kaitsemehhanismidest, mis blokeerivad dialoogiboksi Käivita, kuna see kasutab selle asemel laialdaselt kasutatavat brauseri funktsiooni.
Tuvastamise nüanss : kuna FileFix käivitab ohvri brauseri poolt täitmisahela, võib tegevus olla lõpp-punkti jälgimiseks või intsidendi uurimiseks nähtavam kui ClickFixi kasutatavad käivitusdialoogid – kuid see nurjab siiski paljud lõppkasutajate kaitsemeetmed pettuse teel.
Ohutegelase arenevad tehnikad
See kampaania näitab teadlikku ja hästi rahastatud lähenemisviisi: hoolikalt kavandatud andmepüügiinfrastruktuur, mitmeastmeline kasuliku koormuse disain ja usaldusväärse kolmanda osapoole hostimise kasutamine nii varjatuse kui ka operatiivse ulatuse maksimeerimiseks. Vastase taktika näitab, et nad plaanisid vältida üldist tuvastamist ja saavutada usaldusväärne teostus erinevate sihtmärkide puhul.
