הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית מתקפת הנדסה חברתית של FileFix

מתקפת הנדסה חברתית של FileFix

עד Mezo ב-תוכנה זדונית, פישינג
לתרגם ל:

חוקרים חשפו קמפיין פישינג שנערך לאחרונה, המשתמש בגרסה של טכניקת ההנדסה החברתית FileFix כדי להעביר את תוכנת גניבת המידע StealC. הקמפיין מסתמך על אתר מזויף מלוטש ורב-לשוני (דוגמאות שנצפו כוללות דף 'אבטחת פייסבוק' מזויף), טריקים כבדים של ערפול ואנטי-אנליזה, ושרשרת משלוח טעינה יוצאת דופן שמנצלת לרעה שירותים לגיטימיים כדי להתחמק מגילוי.

כיצד מפתים קורבנות

ההתקפה מתחילה בדרך כלל באימייל המודיע לנמענים שחשבון הפייסבוק שלהם נמצא בסיכון להשעיה עקב הפרות מדיניות לכאורה וקורא להם לערער. לחיצה על קישור הערעור מפנה את המשתמש לדף פישינג משכנע. דף זה מבטיח קובץ PDF של ההפרה לכאורה ומורה למשתמש להעתיק ולהדביק נתיב לסייר הקבצים כדי לגשת אליו, אך ההוראה הידידותית היא תחבולה.

הטריק של FileFix

FileFix שונה מטכניקות דומות באופן שבו הוא מבצע קוד באופן מקומי. במקום לבקש מהקורבנות לפתוח את תיבת הדו-שיח 'הפעלה' ולהדביק פקודה, FileFix משתמש לרעה בפונקציונליות העלאת/העתקת הקבצים של הדפדפן, כך שהקורבנות מדביקים מחרוזת בשורת הכתובת של סייר הקבצים. הטקסט הגלוי נראה כמו נתיב קובץ תמים, אך למעשה הלוח מכיל פקודת PowerShell זדונית רב-שלבית עם רווחים בסיום, כך שרק הנתיב המזיק מופיע בעת ההדבקה. כאשר הקורבן פותח את סייר הקבצים ומדביק, הפקודה המוסתרת מבוצעת באופן מקומי.

שרשרת התקפה

המשתמש מנותב מהודעת פישינג לאתר מזויף רב-לשוני מוסתר בכבדות.

  • לחיצה על כפתור האתר מפעילה את זרימת FileFix, והלוח מאוכלס בפקודת PowerShell נסתרת.
  • סקריפט PowerShell מוריד תמונות שנראות שפירות ממאגר Bitbucket.
  • התמונות מפוענחות למטען של השלב הבא.
  • טוען מבוסס Go מופעל, פורק את קוד המעטפת ולבסוף מפעיל את גונב המידע של StealC.

ניצול לרעה של שירותי אירוח מהימנים

המפעילים מארחים מטענים מקודדים בתוך תמונות במאגר Bitbucket. שימוש בפלטפורמת אירוח קוד מקור בעלת מוניטין עוזר לתוקפים להסתיר תעבורה בבקשות לגיטימיות אחרת ומפחית את הסיכוי לחסימה אוטומטית המבוססת על מוניטין היעד.

טכניקות ערפול ואנטי-אנליזה

דפי הפישינג והסקריפטים אינם פשוטים: המפעילים השתמשו בטשטוש מתקדם, פיצול וקוד זבל כדי לתסכל אנליסטים אנושיים וסורקים אוטומטיים. התשתית היא רב-לשונית ומלוטשת, מה שמגדיל את הסיכוי להטעות אנשים שאינם דוברי אנגלית ולגרום לאתר להיראות אותנטי.

FileFix לעומת ClickFix

FileFix מנצל לרעה את תהליך העלאה/העתקה של קבצים בדפדפן, כך שהקורבנות מדביקים אותם לשורת הכתובת של סייר הקבצים במקום להפעיל את תיבת הדו-שיח 'הפעלה'.

ClickFix דורש הדבקה לתוך תיבת הדו-שיח הפעלה (או טרמינל ב-macOS) והוא נוצר מ-Explorer.exe או משרת טרמינל.

השפעה מעשית : FileFix יכול לעקוף הגנות שחוסמות את השימוש בתיבת הדו-שיח הפעלה, מכיוון שהוא ממנף תכונה נפוצה של דפדפן במקום זאת.

ניואנסים של זיהוי : מכיוון ש-FileFix כולל את הדפדפן של הקורבן שמפעיל את שרשרת הביצוע, הפעילות עשויה להיות גלויה יותר לניטור נקודות הקצה או לחקירת אירועים מאשר הודעות ההפעלה בהן משתמש ClickFix - אך היא עדיין מפרה הגנות רבות של משתמשי הקצה באמצעות הטעיה.

טכניקות מתפתחות של גורם איום

קמפיין זה מציג גישה מכוונת ומאומצת: תשתית פישינג מתוכננת בקפידה, תכנון מטען רב-שלבי ושימוש באירוח צד שלישי אמין כדי למקסם הן את החשאיות והן את טווח ההגעה המבצעי. הסגנון המסחרי של היריב מצביע על כך שהם תכננו להימנע מגילוי גנרי ולהשיג ביצוע אמין על פני מטרות מגוונות.

מגמות

אמריקן אקספרס - הונאת דוא"ל בנוגע לעסקה שנויה במחלוקת

פישינג, ספאם
חוקרי אבטחת סייבר זיהו קמפיין זדוני המפיץ הודעות הונאה המכונה הונאת הדוא"ל "אמריקן אקספרס - עסקה במחלוקת". הודעות אלו מתייצבות כאילו מגיעות מאמריקן אקספרס, אך במציאות הן מזויפות לחלוטין. מטרת ההונאה היא להערים על נמענים לבקר באתר פישינג ולמסור מידע רגיש כגון פרטי בנקאות מקוונת. חשוב לציין, הודעות דוא"ל אלו אינן קשורות לחברות, ארגונים או ספקי שירותים לגיטימיים. איך הונאה עובדת הודעות דוא"ל הונאה...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
34,982
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...