Napad društvenim inženjeringom FileFixa
Istraživači su otkrili nedavnu phishing kampanju koja koristi varijantu tehnike društvenog inženjeringa FileFix za isporuku StealC kradljivca informacija. Kampanja se oslanja na uglađenu, višejezičnu lažnu stranicu (uočeni primjeri uključuju krivotvorenu stranicu 'Facebook Security'), teške trikove za obfuskaciju i anti-analizu te neobičan lanac isporuke sadržaja koji zloupotrebljava legitimne usluge kako bi izbjegao otkrivanje.
Sadržaj
Kako se žrtve namamljuju
Napad obično započinje e-poštom u kojoj se primateljima obavještava da im je Facebook račun u opasnosti od suspenzije zbog navodnog kršenja pravila i potiče ih se da se žale. Klikom na poveznicu za žalbu preusmjerava se korisnik na uvjerljivu phishing stranicu. Ta stranica obećava PDF s navodnim kršenjem pravila i upućuje korisnika da kopira i zalijepi putanju u File Explorer kako bi mu pristupio, ali prijateljska uputa je prijevara.
Trik s FileFixom
FileFix se razlikuje od sličnih tehnika po načinu na koji lokalno izvršava kod. Umjesto da traži od žrtava da otvore dijalog Pokreni i zalijepe naredbu, FileFix zlouporablja funkciju preglednika za prijenos/kopiranje datoteka pa žrtve lijepe niz u adresnu traku File Explorera. Vidljivi tekst izgleda kao bezopasna putanja datoteke, ali međuspremnik zapravo sadrži zlonamjernu višefaznu PowerShell naredbu s razmacima na kraju, tako da se prilikom lijepljenja pojavljuje samo bezopasna putanja. Kada žrtva otvori File Explorer i zalijepi, skrivena naredba izvršava se lokalno.
Lanac napada
Korisnik je preusmjeren s phishing e-pošte na jako maskiranu višejezičnu lažnu stranicu.
- Klikom na gumb web-mjesta pokreće se tijek FileFixa, a međuspremnik se popunjava skrivenom PowerShell naredbom.
- PowerShell skripta preuzima naizgled bezopasne slike iz Bitbucket repozitorija.
- Slike se dekodiraju u korisni teret sljedeće faze.
- Go-bazirani loader se izvršava, raspakira shellcode i konačno pokreće StealC info-stealer.
Zloupotreba pouzdanih usluga hostinga
Operateri hostiraju kodirane korisne podatke unutar slika na Bitbucket repozitoriju. Korištenje renomirane platforme za hosting izvornog koda pomaže napadačima da sakriju promet u inače legitimnim zahtjevima i smanjuje mogućnost automatskog blokiranja na temelju reputacije odredišta.
Tehnike zamagljivanja i antianalize
Stranice i skripte za krađu identiteta nisu jednostavne: operateri su koristili napredno zamagljivanje, fragmentaciju i neželjeni kod kako bi frustrirali ljudske analitičare i automatizirane skenere. Infrastruktura je višejezična i uglađena, što povećava vjerojatnost prevare onih koji ne govore engleski jezik i čini da stranica izgleda autentično.
FileFix u odnosu na ClickFix
FileFix zloupotrebljava tijek prijenosa/kopiranja datoteka u pregledniku pa žrtve lijepe datoteke u adresnu traku File Explorera umjesto da pokreću dijalog Pokreni.
ClickFix zahtijeva lijepljenje u dijalog Pokreni (ili Terminal na macOS-u) i pokreće se iz Explorer.exe ili terminalne sesije.
Praktični utjecaj : FileFix može zaobići obrane koje blokiraju korištenje dijaloga Pokreni jer umjesto toga koristi široko korištenu značajku preglednika.
Nijansa detekcije : budući da FileFix uključuje preglednik žrtve koji pokreće lanac izvršenja, aktivnost može biti vidljivija za praćenje krajnjih točaka ili istragu incidenata nego što se pojavljuje dijalog za pokretanje koji koristi ClickFix - ali i dalje obmanjuje mnoge zaštite krajnjih korisnika.
Razvoj tehnika aktera prijetnje
Ova kampanja pokazuje promišljen i dobro opremljen pristup: pažljivo osmišljenu infrastrukturu za krađu identiteta, višestupanjski dizajn korisnog tereta i korištenje pouzdanog hostinga trećih strana kako bi se maksimizirala i prikrivenost i operativni doseg. Protivnikova vještina ukazuje na to da su planirali izbjeći generičko otkrivanje i postići pouzdano izvršenje na različitim ciljevima.
