FileFix sociālās inženierijas uzbrukums
Pētnieki ir atklājuši nesen notikušu pikšķerēšanas kampaņu, kurā StealC informācijas zagļa piegādei tiek izmantots FileFix sociālās inženierijas tehnikas variants. Kampaņa balstās uz izsmalcinātu, daudzvalodu viltotu vietni (novēroto piemēru vidū ir viltota “Facebook Security” lapa), ievērojamiem slēpšanas un antianalīzes trikiem, kā arī neparastu vērtuma piegādes ķēdi, kas ļaunprātīgi izmanto likumīgus pakalpojumus, lai izvairītos no atklāšanas.
Satura rādītājs
Kā upuri tiek pievilināti
Uzbrukums parasti sākas ar e-pastu, kurā adresātiem tiek paziņots, ka viņu Facebook kontam draud apturēšana par iespējamiem politikas pārkāpumiem, un tiek mudināts iesniegt apelāciju. Noklikšķinot uz apelācijas saites, lietotājs tiek novirzīts uz pārliecinošu pikšķerēšanas lapu. Šajā lapā tiek solīts PDF fails ar iespējamo pārkāpumu un lietotājam tiek lūgts kopēt un ielīmēt ceļu failu pārlūkā, lai tam piekļūtu, taču draudzīgā instrukcija ir viltība.
FileFix triks
FileFix atšķiras no līdzīgām metodēm ar to, kā kods tiek izpildīts lokāli. Tā vietā, lai lūgtu upuriem atvērt dialoglodziņu Izpildīt un ielīmēt komandu, FileFix ļaunprātīgi izmanto pārlūkprogrammas failu augšupielādes/kopēšanas funkcionalitāti, lai upuri ielīmētu virkni failu pārlūka adreses joslā. Redzamais teksts izskatās pēc nekaitīga faila ceļa, bet starpliktuvē faktiski ir ļaunprātīga daudzpakāpju PowerShell komanda ar atstarpēm beigās, tāpēc, ielīmējot, tiek parādīts tikai nekaitīgais ceļš. Kad upuris atver failu pārlūku un ielīmē, slēptā komanda tiek izpildīta lokāli.
Uzbrukuma ķēde
Lietotājs tiek novirzīts no pikšķerēšanas e-pasta uz ļoti apmulsinātu daudzvalodu viltotu vietni.
- Noklikšķinot uz vietnes pogas, tiek aktivizēta FileFix plūsma, un starpliktuvē tiek ievietota slēpta PowerShell komanda.
- PowerShell skripts no Bitbucket repozitorija lejupielādē šķietami nekaitīgus attēlus.
- Attēli tiek dekodēti nākamā posma lietderīgajā slodzē.
- Tiek palaists uz Go balstīts ielādētājs, kas izpako apvalkkodu un visbeidzot palaiž StealC informācijas zagli.
Uzticamu mitināšanas pakalpojumu ļaunprātīga izmantošana
Operatori izvieto kodētas vērtās slodzes attēlos Bitbucket repozitorijā. Izmantojot cienījamu pirmkoda mitināšanas platformu, uzbrucēji var paslēpt datplūsmu citādi likumīgos pieprasījumos un samazināt automātiskas bloķēšanas iespējamību, pamatojoties uz galamērķa reputāciju.
Aptumšošanas un antianalīzes metodes
Pikšķerēšanas lapas un skripti nav vienkārši: operatori izmantoja uzlabotu obfukciju, fragmentāciju un nevēlamu kodu, lai neapmierinātu cilvēku analītiķus un automatizētos skenerus. Infrastruktūra ir daudzvalodu un noslīpēta, palielinot iespēju apmānīt tos, kas nerunā angliski, un liekot vietnei izskatīties autentiskai.
FileFix pret ClickFix
FileFix ļaunprātīgi izmanto pārlūkprogrammas failu augšupielādes/kopēšanas plūsmu, tāpēc upuri ielīmē failus failu pārlūka adreses joslā, nevis atver dialoglodziņu Palaist.
ClickFix prasa ielīmēt dialoglodziņā Izpildīt (vai terminālī macOS operētājsistēmā), un tas tiek palaists no Explorer.exe vai termināļa sesijas.
Praktiska ietekme : FileFix var apiet aizsardzības mehānismus, kas bloķē dialoglodziņa “Palaist” izmantošanu, jo tā vietā tiek izmantota plaši izmantota pārlūkprogrammas funkcija.
Atklāšanas nianse : tā kā FileFix ietver upura pārlūkprogrammas izpildes ķēdes aktivizēšanu, darbība var būt redzamāka galapunktu uzraudzībai vai incidentu izmeklēšanai nekā ClickFix izmantotais palaišanas dialoglodziņš, taču tā joprojām maldina daudzus galalietotāju aizsardzības līdzekļus.
Draudu izpildītāja attīstošās metodes
Šī kampaņa demonstrē apzinātu un labi nodrošinātu pieeju: rūpīgi izstrādātu pikšķerēšanas infrastruktūru, daudzpakāpju vērtuma dizainu un uzticamu trešo pušu mitināšanas pakalpojumu izmantošanu, lai maksimāli palielinātu gan slepenību, gan operatīvo sasniedzamību. Pretinieka viltība liecina, ka viņi plānoja izvairīties no vispārīgas atklāšanas un panākt uzticamu izpildi dažādos mērķos.
