FileFix-sosiaalisen manipuloinnin hyökkäys
Tutkijat ovat paljastaneet äskettäisen tietojenkalastelukampanjan, jossa käytetään FileFix-sosiaalisen manipuloinnin tekniikan muunnelmaa StealC-tietojen varastajayrityksen toimittamiseen. Kampanja perustuu viimeisteltyyn, monikieliseen väärennettyyn sivustoon (esimerkkejä havaituista on väärennetty Facebook Security -sivu), tehokkaisiin hämärtämis- ja analysoinnin esto-temppuihin sekä epätavalliseen hyötykuorman toimitusketjuun, joka väärinkäyttää laillisia palveluita välttääkseen havaitsemisen.
Sisällysluettelo
Miten uhrit houkutellaan
Hyökkäys alkaa tyypillisesti sähköpostilla, jossa vastaanottajille kerrotaan, että heidän Facebook-tilinsä on vaarassa joutua jäädytetyksi väitettyjen käytäntörikkomusten vuoksi, ja heitä kehotetaan valittamaan. Valituslinkin napsauttaminen ohjaa käyttäjän vakuuttavalle tietojenkalastelusivulle. Sivulla luvataan PDF-tiedosto oletetusta rikkomuksesta ja kehotetaan käyttäjää kopioimaan ja liittämään polku tiedostonhallintaan sen käyttämiseksi, mutta ystävällinen ohje on huijaus.
FileFix-temppu
FileFix eroaa muista vastaavista tekniikoista siinä, miten se suorittaa koodin paikallisesti. Sen sijaan, että uhreja pyydettäisiin avaamaan Suorita-valintaikkuna ja liittämään komento, FileFix väärinkäyttää selaimen tiedostojen lataus-/kopiointitoimintoa ja liittää merkkijonon Resurssienhallinnan osoiteriville. Näkyvä teksti näyttää harmittomalta tiedostopolulta, mutta leikepöydällä on itse asiassa haitallinen monivaiheinen PowerShell-komento, jossa on välilyöntejä lopussa, joten vain harmiton polku näkyy liitettäessä. Kun uhri avaa Resurssienhallinnan ja liittää, piilotettu komento suoritetaan paikallisesti.
Hyökkäysketju
Käyttäjä ohjataan tietojenkalasteluviestistä vahvasti monikieliselle ja monimutkaiselle väärennetylle sivustolle.
- Sivuston painikkeen napsauttaminen käynnistää FileFix-työnkulun, ja leikepöydälle ilmestyy piilotettu PowerShell-komento.
- PowerShell-skripti lataa näennäisen vaarattomia kuvia Bitbucket-arkistosta.
- Kuvat dekoodataan seuraavan vaiheen hyötykuormaksi.
- Go-pohjainen lataaja suoritetaan, purkaa komentotulkkikoodin ja lopuksi käynnistää StealC-tietojen varastamisen.
Luotettavien hosting-palveluiden väärinkäyttö
Operaattorit isännöivät koodattuja hyötykuormia kuvien sisällä Bitbucket-arkistossa. Hyvämaineisen lähdekoodin isännöintialustan käyttö auttaa hyökkääjiä piilottamaan liikenteen muuten laillisissa pyynnöissä ja vähentää automaattisen estämisen mahdollisuutta kohteen maineen perusteella.
Hämärtäminen ja analyysin vastaiset tekniikat
Tietojenkalastelusivut ja -skriptit eivät ole yksinkertaisia: operaattorit käyttivät edistynyttä hämärtämistä, fragmentointia ja roskakoodia turhauttaakseen ihmisanalyytikoita ja automaattisia skannereita. Infrastruktuuri on monikielinen ja viimeistelty, mikä lisää muiden kuin englanninkielisten huijaamisen mahdollisuutta ja saa sivuston näyttämään aidolta.
FileFix vs. ClickFix
FileFix väärinkäyttää selaimen tiedostojen lataus- ja kopiointiprosessia, joten uhrit liittävät tiedostot Resurssienhallinnan osoiteriville Suorita-valintaikkunan avaamisen sijaan.
ClickFix vaatii liittämisen Suorita-valintaikkunaan (tai Pääte-ikkunaan macOS:ssä) ja se käynnistetään Explorer.exe-tiedostosta tai pääte-istunnosta.
Käytännön vaikutus : FileFix voi ohittaa Suorita-valintaikkunan käyttöä estävät suojaukset, koska se hyödyntää sen sijaan laajalti käytettyä selainominaisuutta.
Havaitsemisen vivahteet : koska FileFixissä uhrin selain käynnistää suoritusketjun, toiminta voi olla näkyvämpää päätepisteiden seurannassa tai tapausten tutkinnassa kuin ClickFixin käyttämät Suorita-valintaikkunat – mutta se silti ohittaa monet loppukäyttäjien suojaukset harhaanjohtamisen avulla.
Uhkatoimijan kehittyvät tekniikat
Tämä kampanja osoittaa harkittua ja hyvin resursoitua lähestymistapaa: huolellisesti suunniteltua tietojenkalasteluinfrastruktuuria, monivaiheista hyötykuorman suunnittelua ja luotettavan kolmannen osapuolen hosting-palvelun käyttöä sekä piilotetun että operatiivisen ulottuvuuden maksimoimiseksi. Vastustajan kaupankäyntitaktiikka viittaa siihen, että he suunnittelivat välttävänsä yleistä havaitsemista ja saavuttavansa luotettavan toteutuksen erilaisissa kohteissa.
