حمله مهندسی اجتماعی FileFix

محققان اخیراً یک کمپین فیشینگ را کشف کرده‌اند که از نوعی تکنیک مهندسی اجتماعی FileFix برای ارائه‌ی ابزار سرقت اطلاعات StealC استفاده می‌کند. این کمپین به یک سایت جعلی چندزبانه و مرتب (نمونه‌های مشاهده شده شامل یک صفحه جعلی «امنیت فیس‌بوک»)، ترفندهای مبهم‌سازی و ضدتحلیل سنگین و یک زنجیره‌ی تحویل بار داده‌ی غیرمعمول متکی است که از سرویس‌های قانونی برای فرار از شناسایی سوءاستفاده می‌کند.

چگونه قربانیان فریب داده می‌شوند

این حمله معمولاً با ایمیلی آغاز می‌شود که به گیرندگان می‌گوید حساب فیس‌بوکشان به دلیل نقض احتمالی سیاست‌ها در معرض خطر تعلیق است و از آنها می‌خواهد که درخواست تجدیدنظر کنند. کلیک روی لینک تجدیدنظر، کاربر را به یک صفحه فیشینگ متقاعدکننده هدایت می‌کند. این صفحه یک فایل PDF از تخلف احتمالی را وعده می‌دهد و به کاربر دستور می‌دهد که برای دسترسی به آن، مسیری را در File Explorer کپی و پیست کند، اما این دستورالعمل دوستانه یک حیله است.

ترفند FileFix

FileFix با تکنیک‌های مشابه در نحوه‌ی اجرای کد به صورت محلی متفاوت است. FileFix به جای اینکه از قربانیان بخواهد پنجره‌ی Run را باز کرده و یک دستور را پیست کنند، از قابلیت آپلود/کپی فایل مرورگر سوءاستفاده می‌کند، به طوری که قربانیان یک رشته را در نوار آدرس File Explorer پیست می‌کنند. متن قابل مشاهده مانند یک مسیر فایل بی‌ضرر به نظر می‌رسد، اما کلیپ‌بورد در واقع حاوی یک دستور PowerShell چند مرحله‌ای مخرب با فاصله‌های انتهایی است، بنابراین هنگام پیست کردن، فقط مسیر بی‌ضرر ظاهر می‌شود. وقتی قربانی File Explorer را باز می‌کند و پیست می‌کند، دستور پنهان به صورت محلی اجرا می‌شود.

زنجیره حمله

کاربر از یک ایمیل فیشینگ به یک سایت جعلی چندزبانه و به‌شدت مبهم هدایت می‌شود.

• کلیک روی دکمه‌ی سایت، جریان FileFix را فعال می‌کند و کلیپ‌بورد با یک دستور پنهان PowerShell پر می‌شود.
• اسکریپت PowerShell تصاویر به ظاهر بی‌خطر را از مخزن Bitbucket دانلود می‌کند.
• تصاویر در مرحله بعدی رمزگشایی شده و به محموله بدافزار تبدیل می‌شوند.
• یک لودر مبتنی بر Go اجرا می‌شود، shellcode را از حالت فشرده خارج می‌کند و در نهایت، ابزار سرقت اطلاعات StealC را اجرا می‌کند.

سوءاستفاده از سرویس‌های میزبانی معتبر

اپراتورها، کدهای مخرب رمزگذاری‌شده را درون تصاویر موجود در مخزن Bitbucket میزبانی می‌کنند. استفاده از یک پلتفرم میزبانی کد منبع معتبر به مهاجمان کمک می‌کند تا ترافیک را در درخواست‌های مشروع پنهان کنند و احتمال مسدود شدن خودکار بر اساس اعتبار مقصد را کاهش دهند.

تکنیک‌های مبهم‌سازی و ضدتحلیل

صفحات و اسکریپت‌های فیشینگ ساده نیستند: اپراتورها از مبهم‌سازی پیشرفته، قطعه قطعه‌سازی و کدهای ناخواسته برای ناامید کردن تحلیلگران انسانی و اسکنرهای خودکار استفاده کردند. زیرساخت چندزبانه و اصلاح‌شده است و احتمال فریب افراد غیرانگلیسی‌زبان و معتبر جلوه دادن سایت را افزایش می‌دهد.

فایل‌فیکس در مقابل کلیک‌فیکس

FileFix از جریان آپلود/کپی فایل مرورگر سوءاستفاده می‌کند، بنابراین قربانیان به جای اجرای پنجره Run، فایل را در نوار آدرس File Explorer پیست می‌کنند.

کلیک‌فیکس نیاز به پیست کردن در پنجره Run (یا ترمینال در macOS) دارد و از Explorer.exe یا یک جلسه ترمینال اجرا می‌شود.

تأثیر عملی : FileFix می‌تواند از سدهای دفاعی که استفاده از پنجره Run را مسدود می‌کنند، عبور کند، زیرا به جای آن از یک ویژگی مرورگر پرکاربرد استفاده می‌کند.

نکته‌ی ظریف در تشخیص : از آنجایی که FileFix شامل فعال‌سازی زنجیره‌ی اجرا توسط مرورگر قربانی می‌شود، این فعالیت ممکن است برای نظارت بر نقاط پایانی یا بررسی حادثه، نسبت به نمایش‌های Run-dialog مورد استفاده توسط ClickFix، قابل مشاهده‌تر باشد - اما همچنان بسیاری از محافظت‌های کاربر نهایی را از طریق فریب، شکست می‌دهد.

تکنیک‌های در حال تکامل عامل تهدید

این کمپین، رویکردی آگاهانه و با منابع کافی را نشان می‌دهد: زیرساخت فیشینگ با مهندسی دقیق، طراحی چند مرحله‌ای پیلود و استفاده از میزبانی شخص ثالث مورد اعتماد برای به حداکثر رساندن دسترسی مخفی و عملیاتی. ترفندهای دشمن نشان می‌دهد که آنها برای جلوگیری از شناسایی عمومی و دستیابی به اجرای قابل اعتماد در اهداف متنوع برنامه‌ریزی کرده‌اند.