फ़ाइलफ़िक्स सोशल इंजीनियरिंग हमला
शोधकर्ताओं ने एक हालिया फ़िशिंग अभियान का पर्दाफ़ाश किया है जो StealC सूचना चुराने वाले को पहुँचाने के लिए FileFix सोशल-इंजीनियरिंग तकनीक के एक प्रकार का उपयोग करता है। यह अभियान एक परिष्कृत, बहुभाषी नकली साइट (उदाहरणों में एक नकली 'फ़ेसबुक सुरक्षा' पृष्ठ शामिल है), भारी अस्पष्टता और विश्लेषण-विरोधी तरकीबों, और एक असामान्य पेलोड डिलीवरी श्रृंखला पर निर्भर करता है जो पता लगाने से बचने के लिए वैध सेवाओं का दुरुपयोग करती है।
विषयसूची
पीड़ितों को कैसे लुभाया जाता है
यह हमला आमतौर पर एक ईमेल से शुरू होता है जिसमें प्राप्तकर्ताओं को बताया जाता है कि उनके फेसबुक अकाउंट पर कथित नीति उल्लंघनों के कारण निलंबन का खतरा है और उन्हें अपील करने का आग्रह किया जाता है। अपील लिंक पर क्लिक करने से उपयोगकर्ता एक विश्वसनीय फ़िशिंग पेज पर पहुँच जाता है। यह पेज कथित उल्लंघन की एक पीडीएफ फाइल देने का वादा करता है और उपयोगकर्ता को उस फाइल तक पहुँचने के लिए फाइल एक्सप्लोरर में एक पथ को कॉपी-पेस्ट करने का निर्देश देता है, लेकिन यह दोस्ताना निर्देश एक छलावा होता है।
फ़ाइलफ़िक्स ट्रिक
FileFix, कोड को स्थानीय रूप से निष्पादित करने के तरीके में समान तकनीकों से भिन्न है। पीड़ितों को रन डायलॉग बॉक्स खोलने और कमांड पेस्ट करने के लिए कहने के बजाय, FileFix ब्राउज़र की फ़ाइल-अपलोड/कॉपी कार्यक्षमता का दुरुपयोग करता है जिससे पीड़ित फ़ाइल एक्सप्लोरर एड्रेस बार में एक स्ट्रिंग पेस्ट कर देते हैं। दिखाई देने वाला टेक्स्ट एक हानिरहित फ़ाइल पथ जैसा दिखता है, लेकिन क्लिपबोर्ड में वास्तव में एक दुर्भावनापूर्ण मल्टी-स्टेज PowerShell कमांड होता है जिसके अंत में रिक्त स्थान होते हैं, इसलिए पेस्ट करने पर केवल हानिरहित पथ ही दिखाई देता है। जब पीड़ित फ़ाइल एक्सप्लोरर खोलता है और पेस्ट करता है, तो छिपा हुआ कमांड स्थानीय रूप से निष्पादित होता है।
आक्रमण श्रृंखला
उपयोगकर्ता को फ़िशिंग ईमेल से एक अत्यधिक अस्पष्ट बहुभाषी नकली साइट पर पुनः निर्देशित किया जाता है।
- साइट के बटन पर क्लिक करने से FileFix प्रवाह सक्रिय हो जाता है, और क्लिपबोर्ड एक छिपे हुए PowerShell कमांड से भर जाता है।
- पॉवरशेल स्क्रिप्ट बिटबकेट रिपोजिटरी से सौम्य प्रतीत होने वाली छवियों को डाउनलोड करती है।
- छवियों को अगले चरण के पेलोड में डिकोड किया जाता है।
- एक गो-आधारित लोडर निष्पादित होता है, शेलकोड को अनपैक करता है, और अंततः स्टीलसी सूचना-चोर को लॉन्च करता है।
विश्वसनीय होस्टिंग सेवाओं का दुरुपयोग
ऑपरेटर बिटबकेट रिपॉजिटरी पर छवियों के अंदर एन्कोडेड पेलोड होस्ट करते हैं। एक प्रतिष्ठित सोर्स-कोड होस्टिंग प्लेटफ़ॉर्म का उपयोग करने से हमलावरों को अन्यथा वैध अनुरोधों में ट्रैफ़िक छिपाने में मदद मिलती है और गंतव्य प्रतिष्ठा के आधार पर स्वचालित ब्लॉकिंग की संभावना कम हो जाती है।
अस्पष्टीकरण और विश्लेषण-विरोधी तकनीकें
फ़िशिंग पेज और स्क्रिप्ट सरल नहीं हैं: संचालक मानव विश्लेषकों और स्वचालित स्कैनरों को भ्रमित करने के लिए उन्नत अस्पष्टीकरण, विखंडन और जंक कोड का इस्तेमाल करते हैं। बुनियादी ढाँचा बहुभाषी और परिष्कृत है, जिससे गैर-अंग्रेजी भाषियों को धोखा देने की संभावना बढ़ जाती है और साइट प्रामाणिक दिखाई देती है।
फ़ाइलफ़िक्स बनाम क्लिकफ़िक्स
फाइलफिक्स ब्राउज़र फ़ाइल-अपलोड/कॉपी प्रवाह का दुरुपयोग करता है, इसलिए पीड़ित रन डायलॉग लॉन्च करने के बजाय फ़ाइल एक्सप्लोरर के एड्रेस बार में पेस्ट कर देते हैं।
ClickFix को रन डायलॉग (या macOS पर टर्मिनल) में पेस्ट करने की आवश्यकता होती है और इसे Explorer.exe या टर्मिनल सत्र से उत्पन्न किया जाता है।
व्यावहारिक प्रभाव : फाइलफिक्स उन सुरक्षाओं को दरकिनार कर सकता है जो रन डायलॉग के उपयोग को अवरुद्ध करते हैं, क्योंकि यह इसके बजाय व्यापक रूप से उपयोग की जाने वाली ब्राउज़र सुविधा का लाभ उठाता है।
पता लगाने की बारीकियां : क्योंकि FileFix में पीड़ित के ब्राउज़र द्वारा निष्पादन श्रृंखला को ट्रिगर करना शामिल होता है, इसलिए गतिविधि, ClickFix द्वारा उपयोग किए जाने वाले रन-डायलॉग स्पॉन की तुलना में एंडपॉइंट मॉनिटरिंग या घटना जांच के लिए अधिक दृश्यमान हो सकती है - लेकिन यह अभी भी धोखे के माध्यम से कई अंतिम-उपयोगकर्ता सुरक्षा को पराजित करता है।
ख़तरा अभिनेता की विकसित होती तकनीकें
यह अभियान एक सुविचारित, सुसंसाधनयुक्त दृष्टिकोण को दर्शाता है: सावधानीपूर्वक डिज़ाइन किया गया फ़िशिंग इन्फ्रास्ट्रक्चर, बहु-चरणीय पेलोड डिज़ाइन, और विश्वसनीय तृतीय-पक्ष होस्टिंग का उपयोग, ताकि गुप्त और परिचालन पहुँच दोनों को अधिकतम किया जा सके। प्रतिद्वंदी की रणनीति से संकेत मिलता है कि उन्होंने सामान्य पहचान से बचने और विविध लक्ष्यों पर विश्वसनीय निष्पादन प्राप्त करने की योजना बनाई थी।
