„FileFix“ socialinės inžinerijos ataka
Tyrėjai atskleidė neseniai vykusią sukčiavimo apsimetant kampaniją, kurios metu naudojamas „FileFix“ socialinės inžinerijos technikos variantas, siekiant pateikti informacijos vagį „StealC“. Kampanija remiasi išbaigta, daugiakalbė netikra svetaine (tarp pastebėtų pavyzdžių yra suklastotas „Facebook“ saugumo puslapis), sudėtingais klaidinimo ir antianalizės triukais bei neįprasta naudingosios apkrovos pristatymo grandine, kuri piktnaudžiauja teisėtomis paslaugomis, kad išvengtų aptikimo.
Turinys
Kaip viliojamos aukos
Ataka paprastai prasideda el. laišku, kuriame gavėjams pranešama, kad jų „Facebook“ paskyrai gresia sustabdymas dėl tariamų politikos pažeidimų, ir raginama pateikti apeliaciją. Paspaudus apeliacijos nuorodą, vartotojas nukreipiamas į įtikinamą sukčiavimo puslapį. Tame puslapyje žadama PDF formatu pateikti tariamo pažeidimo informaciją ir nurodoma nukopijuoti kelią į failų naršyklę, kad būtų galima ją pasiekti, tačiau ši draugiška instrukcija yra gudrybė.
„FileFix“ triukas
„FileFix“ skiriasi nuo panašių metodų tuo, kaip kodas vykdomas vietoje. Užuot prašiusi aukų atidaryti dialogo langą „Vykdyti“ ir įklijuoti komandą, „FileFix“ netinkamai naudoja naršyklės failų įkėlimo / kopijavimo funkciją, todėl aukos įklijuoja eilutę į failų naršyklės adreso juostą. Matomas tekstas atrodo kaip nekenksmingas failo kelias, tačiau iškarpinėje iš tikrųjų yra kenkėjiška kelių pakopų „PowerShell“ komanda su tarpais gale, todėl įklijavus rodomas tik nekenksmingas kelias. Kai auka atidaro failų naršyklę ir įklijuoja, paslėpta komanda vykdoma vietoje.
Atakos grandinė
Vartotojas nukreipiamas iš sukčiavimo el. laiško į labai klaidinantį daugiakalbį netikrą tinklalapį.
- Spustelėjus svetainės mygtuką, suaktyvinamas „FileFix“ srautas, o iškarpinė užpildoma paslėpta „PowerShell“ komanda.
- „PowerShell“ scenarijus atsisiunčia, regis, nekenksmingus vaizdus iš „Bitbucket“ saugyklos.
- Vaizdai dekoduojami į kito etapo naudingąją apkrovą.
- Paleidžiamas „Go“ pagrindu veikiantis krautuvas, išpakuojamas apvalkalo kodas ir galiausiai paleidžiamas „StealC“ informacijos vagystės įrankis.
Piktnaudžiavimas patikimomis prieglobos paslaugomis
Operatoriai talpina užkoduotus naudinguosius duomenis vaizdų viduje „Bitbucket“ saugykloje. Naudojant patikimą šaltinio kodo talpinimo platformą, užpuolikai gali paslėpti srautą kitaip teisėtuose užklausose ir sumažinti automatinio blokavimo, pagrįsto paskirties vietos reputacija, tikimybę.
Obfuskacijos ir antianalizės metodai
Sukčiavimo puslapiai ir scenarijai nėra paprasti: operatoriai naudojo pažangų kodo maskavimą, fragmentaciją ir nepageidaujamą kodą, kad suerzintų žmonių analitikus ir automatinius skaitytuvus. Infrastruktūra yra daugiakalbė ir išbaigta, todėl padidėja tikimybė apgauti ne angliškai kalbančius asmenis ir svetainė atrodo autentiška.
FileFix ir ClickFix skirtumai
„FileFix“ piktnaudžiauja naršyklės failų įkėlimo / kopijavimo srautu, todėl aukos įklijuoja failus į failų naršyklės adreso juostą, o ne atidaro dialogo langą „Vykdyti“.
„ClickFix“ reikia įklijuoti į dialogo langą „Vykdyti“ (arba terminalą „macOS“ sistemoje) ir jis paleidžiamas iš „Explorer.exe“ arba terminalo sesijos.
Praktinis poveikis : „FileFix“ gali apeiti apsaugas, kurios blokuoja dialogo lango „Vykdyti“ naudojimą, nes vietoj to naudoja plačiai naudojamą naršyklės funkciją.
Aptikimo niuansas : kadangi „FileFix“ atveju aukos naršyklė suaktyvina vykdymo grandinę, veikla gali būti labiau matoma galinių taškų stebėjimo ar incidentų tyrimo specialistams nei „ClickFix“ naudojami vykdymo dialogo langai, tačiau vis tiek apgaulingai pažeidžiama daugelis galutinių vartotojų apsaugos priemonių.
Grėsmės veikėjo besivystantys metodai
Ši kampanija pasižymi apgalvotu, gerai aprūpintu požiūriu: kruopščiai sukurta sukčiavimo apsimetant infrastruktūra, daugiapakopis naudingosios apkrovos dizainas ir patikimos trečiosios šalies prieglobos naudojimas, siekiant maksimaliai padidinti tiek slaptą, tiek operacinį pasiekiamumą. Priešininko gudrybė rodo, kad jie planavo išvengti bendro aptikimo ir užtikrinti patikimą vykdymą įvairiuose taikiniuose.
