Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware FileFix szociális manipulációs támadás

FileFix szociális manipulációs támadás

Mezo -ra Malware, Adathalászat-ben
Fordítás ide:

A kutatók lelepleztek egy nemrégiben lezajlott adathalász kampányt, amely a FileFix szociális manipulációs technikájának egy változatát használja a StealC információlopó eszköz célba juttatásához. A kampány egy kifinomult, többnyelvű hamis weboldalra (a megfigyelt példák között szerepel egy hamis „Facebook Security” oldal), jelentős obfuszkálási és elemzésgátló trükkökre, valamint egy szokatlan hasznos adat kézbesítési láncra támaszkodik, amely legitim szolgáltatásokat használ vissza az észlelés elkerülése érdekében.

Hogyan csábítják el az áldozatokat

A támadás jellemzően egy e-maillel kezdődik, amelyben a címzetteket tájékoztatják Facebook-fiókjuk felfüggesztésének veszélyéről az állítólagos szabályzatsértések miatt, és felszólítják őket a fellebbezésre. A fellebbezési linkre kattintva a felhasználó egy meggyőző adathalász oldalra jut. Ez az oldal a feltételezett szabálysértés PDF-jét ígéri, és arra utasítja a felhasználót, hogy másolja ki és illessze be az elérési utat a Fájlkezelőbe az eléréséhez, de a barátságos utasítás csak csel.

A FileFix trükk

A FileFix abban különbözik a hasonló technikáktól, hogy hogyan hajtja végre a kódot helyben. Ahelyett, hogy a Futtatás párbeszédpanel megnyitására és egy parancs beillesztésére kérné az áldozatokat, a FileFix visszaél a böngésző fájlfeltöltési/másolási funkciójával, így az áldozatok egy karakterláncot illesztenek be a Fájlkezelő címsorába. A látható szöveg ártalmatlan fájlútvonalnak tűnik, de a vágólap valójában egy rosszindulatú, többlépcsős PowerShell parancsot tartalmaz szóközökkel, így beillesztéskor csak az ártalmatlan elérési út jelenik meg. Amikor az áldozat megnyitja a Fájlkezelőt és beilleszti, a rejtett parancs helyben fut.

Támadólánc

A felhasználót egy adathalász e-mailről egy erősen obfuszkált, többnyelvű hamis oldalra irányítják át.

  • A webhely gombjára kattintva elindítható a FileFix folyamat, és a vágólap egy rejtett PowerShell-parancskal lesz feltöltve.
  • A PowerShell szkript látszólag ártalmatlan képeket tölt le egy Bitbucket adattárból.
  • A képeket dekódolják a következő szakasz hasznos adataivá.
  • Egy Go-alapú betöltő fut le, kicsomagolja a shellkódot, és végül elindítja a StealC info-stealert.

Megbízható tárhelyszolgáltatások visszaélése

Az operátorok kódolt hasznos adatokat tárolnak képekben egy Bitbucket-tárhelyen. Egy megbízható forráskód-tárhelyplatform használata segít a támadóknak elrejteni a forgalmat egyébként jogos kérésekben, és csökkenti a célhely reputációján alapuló automatikus blokkolás esélyét.

Kómítási és antianalízis technikák

Az adathalász oldalak és szkriptek nem egyszerűek: az üzemeltetők fejlett obfuszkálást, fragmentációt és szemétkódot használtak az emberi elemzők és az automatizált szkennerek megkeserítésére. Az infrastruktúra többnyelvű és kifinomult, ami növeli az angolul nem beszélők megtévesztésének esélyét, és hitelesnek mutatja az oldalt.

FileFix vs. ClickFix

A FileFix visszaél a böngésző fájlfeltöltési/másolási folyamatával, így az áldozatok a Fájlkezelő címsorába illesztik be a fájlokat a Futtatás párbeszédpanel megnyitása helyett.

A ClickFix futtatásához be kell illeszteni a Futtatás párbeszédpanelre (vagy macOS rendszeren a Terminálba), és az Explorer.exe fájlból vagy egy terminálmunkamenetből indul ki.

Gyakorlati hatás : A FileFix megkerülheti a Futtatás párbeszédpanel használatát blokkoló védelmeket, mivel ehelyett egy széles körben használt böngészőfunkciót használ.

Észlelési árnyalatnyi különbség : mivel a FileFix esetében az áldozat böngészője indítja el a végrehajtási láncot, a tevékenység jobban látható lehet a végpontok monitorozása vagy az incidensek kivizsgálása számára, mint a ClickFix által használt Futtatás párbeszédablakok – de a megtévesztés révén még mindig számos végfelhasználói védelmet meghiúsít.

A fenyegető szereplő fejlődő technikái

Ez a kampány egy átgondolt, jól finanszírozott megközelítést mutat: gondosan megtervezett adathalász infrastruktúra, többlépcsős hasznos tehertervezés és megbízható harmadik féltől származó tárhelyszolgáltatás használata a lopakodás és az operatív hatókör maximalizálása érdekében. Az ellenfél kereskedelmi fortélyai azt mutatják, hogy a generikus észlelés elkerülését és a megbízható végrehajtás elérését tervezték a különböző célpontokon.

Felkapott

Legnézettebb

Betöltés...