Preventivo sconto multi-licenza
Database delle minacce Malware Attacco di ingegneria sociale FileFix

Attacco di ingegneria sociale FileFix

Entro Mezo nel Malware, Phishing
Traduci in:

I ricercatori hanno scoperto una recente campagna di phishing che utilizza una variante della tecnica di ingegneria sociale FileFix per diffondere il ladro di informazioni StealC. La campagna si basa su un sito falso multilingue e ben strutturato (tra gli esempi osservati c'è una pagina contraffatta di "Facebook Security"), su pesanti tecniche di offuscamento e anti-analisi e su un'insolita catena di distribuzione del payload che sfrutta servizi legittimi per eludere il rilevamento.

Come vengono attirate le vittime

L'attacco inizia in genere con un'e-mail che informa i destinatari che il loro account Facebook è a rischio sospensione per presunte violazioni delle policy e li esorta a presentare ricorso. Cliccando sul link per presentare ricorso, l'utente viene reindirizzato a una convincente pagina di phishing. La pagina promette un PDF della presunta violazione e invita l'utente a copiare e incollare un percorso in Esplora risorse per accedervi, ma le istruzioni amichevoli sono un inganno.

Il trucco di FileFix

FileFix si differenzia da tecniche simili per il modo in cui esegue il codice localmente. Invece di chiedere alle vittime di aprire la finestra di dialogo Esegui e incollare un comando, FileFix sfrutta in modo improprio la funzionalità di caricamento/copia file del browser, in modo che le vittime incollino una stringa nella barra degli indirizzi di Esplora file. Il testo visibile sembra un innocuo percorso di file, ma gli appunti contengono in realtà un comando PowerShell dannoso a più fasi con spazi finali, in modo che solo il percorso innocuo venga visualizzato quando viene incollato. Quando la vittima apre Esplora file e incolla, il comando nascosto viene eseguito localmente.

Catena di attacco

L'utente viene reindirizzato da un'e-mail di phishing a un sito falso multilingue fortemente offuscato.

  • Facendo clic sul pulsante del sito si attiva il flusso FileFix e gli appunti vengono popolati con un comando PowerShell nascosto.
  • Lo script PowerShell scarica immagini apparentemente innocue da un repository Bitbucket.
  • Le immagini vengono decodificate nel payload della fase successiva.
  • Viene eseguito un caricatore basato su Go, decomprime lo shellcode e infine avvia l'info-stealer StealC.

Abuso di servizi di hosting affidabili

Gli operatori ospitano payload codificati all'interno di immagini su un repository Bitbucket. L'utilizzo di una piattaforma di hosting del codice sorgente affidabile aiuta gli aggressori a nascondere il traffico in richieste altrimenti legittime e riduce il rischio di blocchi automatici basati sulla reputazione della destinazione.

Tecniche di offuscamento e anti-analisi

Le pagine e gli script di phishing non sono semplici: gli operatori hanno utilizzato tecniche avanzate di offuscamento, frammentazione e codice spazzatura per frustrare gli analisti umani e gli scanner automatici. L'infrastruttura è multilingue e ben strutturata, aumentando le possibilità di ingannare chi non parla inglese e facendo apparire il sito autentico.

FileFix contro ClickFix

FileFix sfrutta in modo improprio il flusso di caricamento/copia dei file del browser, in modo che le vittime li incollino nella barra degli indirizzi di Esplora file anziché aprire la finestra di dialogo Esegui.

ClickFix richiede di essere incollato nella finestra di dialogo Esegui (o Terminale su macOS) e viene generato da Explorer.exe o da una sessione del terminale.

Impatto pratico : FileFix può aggirare le difese che bloccano l'uso della finestra di dialogo Esegui, perché sfrutta invece una funzionalità del browser ampiamente utilizzata.

Sfumatura di rilevamento : poiché FileFix prevede che il browser della vittima attivi la catena di esecuzione, l'attività potrebbe essere più visibile al monitoraggio degli endpoint o all'indagine sugli incidenti rispetto alle finestre di dialogo Esegui utilizzate da ClickFix, ma continua a vanificare molte protezioni dell'utente finale attraverso l'inganno.

Tecniche in evoluzione dell’attore della minaccia

Questa campagna dimostra un approccio deliberato e ben finanziato: un'infrastruttura di phishing attentamente progettata, un payload progettato in più fasi e l'utilizzo di hosting di terze parti affidabili per massimizzare sia la furtività che la portata operativa. Le tecniche utilizzate dall'avversario indicano che intendeva evitare il rilevamento generico e ottenere un'esecuzione affidabile su diversi obiettivi.

Tendenza

I più visti

Caricamento in corso...