Serangan Kejuruteraan Sosial FileFix
Penyelidik telah menemui kempen pancingan data baru-baru ini yang menggunakan varian teknik kejuruteraan sosial FileFix untuk menyampaikan pencuri maklumat StealC. Kempen ini bergantung pada tapak palsu berbilang bahasa yang digilap (contoh yang diperhatikan termasuk halaman 'Keselamatan Facebook' yang palsu), helah anti-analisis yang mengelirukan, dan rantaian penghantaran muatan luar biasa yang menyalahgunakan perkhidmatan yang sah untuk mengelak pengesanan.
Isi kandungan
Bagaimana Mangsa Dipikat
Serangan biasanya bermula dengan e-mel yang memberitahu penerima akaun Facebook mereka berisiko digantung atas dakwaan pelanggaran dasar dan menggesa mereka merayu. Mengklik pautan rayuan mengubah hala pengguna ke halaman pancingan data yang meyakinkan. Halaman itu menjanjikan PDF tentang pelanggaran yang sepatutnya dan mengarahkan pengguna untuk menyalin dan menampal laluan ke dalam File Explorer untuk mengaksesnya, tetapi arahan mesra itu adalah tipu muslihat.
Helah FileFix
FileFix berbeza daripada teknik serupa dalam cara ia mendapatkan kod dilaksanakan secara tempatan. Daripada meminta mangsa membuka dialog Run dan menampal arahan, FileFix menyalahgunakan fungsi muat naik / salin fail penyemak imbas supaya mangsa menampal rentetan ke dalam bar alamat File Explorer. Teks yang kelihatan kelihatan seperti laluan fail yang tidak berbahaya, tetapi papan keratan sebenarnya mengandungi perintah PowerShell berbilang peringkat yang berniat jahat dengan ruang di belakang jadi hanya laluan tidak berbahaya yang muncul apabila ditampal. Apabila mangsa membuka File Explorer dan menampal, arahan tersembunyi dilaksanakan secara setempat.
Rantaian Serangan
Pengguna dialihkan daripada e-mel pancingan data ke tapak palsu berbilang bahasa yang sangat dikelirukan.
- Mengklik butang tapak mencetuskan aliran FileFix dan papan keratan diisi dengan arahan PowerShell tersembunyi.
- Skrip PowerShell memuat turun imej yang kelihatan jinak daripada repositori Bitbucket.
- Imej-imej dinyahkodkan ke dalam muatan peringkat seterusnya.
- Pemuat berasaskan Go dilaksanakan, membongkar kod shell, dan akhirnya melancarkan pencuri maklumat StealC.
Menyalahgunakan Perkhidmatan Pengehosan Dipercayai
Pengendali mengehoskan muatan yang dikodkan di dalam imej pada repositori Bitbucket. Menggunakan platform pengehosan kod sumber yang bereputasi membantu penyerang menyembunyikan trafik dalam permintaan yang sah dan mengurangkan peluang penyekatan automatik berdasarkan reputasi destinasi.
Teknik Obfuscation Dan Anti-analisis
Halaman dan skrip pancingan data tidak mudah: pengendali menggunakan pengeliruan lanjutan, pemecahan dan kod sampah untuk mengecewakan penganalisis manusia dan pengimbas automatik. Infrastruktur berbilang bahasa dan digilap, meningkatkan peluang untuk menipu penutur bukan bahasa Inggeris dan menjadikan tapak kelihatan tulen.
FileFix vs ClickFix
FileFix menyalahgunakan aliran muat naik / salin fail penyemak imbas supaya mangsa menampal ke dalam bar alamat File Explorer dan bukannya melancarkan dialog Run.
ClickFix memerlukan tampalan ke dalam dialog Run (atau Terminal pada macOS) dan dihasilkan daripada Explorer.exe atau sesi terminal.
Kesan praktikal : FileFix boleh memintas pertahanan yang menyekat penggunaan dialog Run, kerana ia memanfaatkan ciri penyemak imbas yang digunakan secara meluas.
Nuansa pengesanan : kerana FileFix melibatkan penyemak imbas mangsa yang mencetuskan rantaian pelaksanaan, aktiviti mungkin lebih kelihatan kepada pemantauan titik akhir atau penyiasatan insiden berbanding dialog Run yang digunakan oleh ClickFix — tetapi ia masih mengalahkan banyak perlindungan pengguna akhir melalui penipuan.
Teknik Ancaman Pelakon Berkembang
Kempen ini menunjukkan pendekatan yang disengajakan dan mempunyai sumber yang baik: infrastruktur pancingan data yang direkayasa dengan teliti, reka bentuk muatan berbilang peringkat dan penggunaan pengehosan pihak ketiga yang dipercayai untuk memaksimumkan capaian senyap dan operasi. Kraf dagangan musuh menunjukkan mereka merancang untuk mengelakkan pengesanan generik dan untuk mencapai pelaksanaan yang boleh dipercayai merentas pelbagai sasaran.
