FileFix sosial manipuleringsangrep

Forskere har avdekket en nylig phishing-kampanje som bruker en variant av FileFix-teknikken for sosial manipulering for å levere informasjonstyveren StealC. Kampanjen er avhengig av et polert, flerspråklig falskt nettsted (eksempler observert inkluderer en forfalsket «Facebook Security»-side), omfattende obfuskasjon og anti-analyse-triks, og en uvanlig leveringskjede for nyttelast som misbruker legitime tjenester for å unngå å bli oppdaget.

Hvordan ofre blir lokket

Angrepet starter vanligvis med en e-post som forteller mottakerne at Facebook-kontoen deres er i faresonen for å bli suspendert på grunn av påståtte brudd på retningslinjene, og oppfordrer dem til å anke. Ved å klikke på ankelenken omdirigeres brukeren til en overbevisende phishing-side. Denne siden lover en PDF av det påståtte bruddet og instruerer brukeren til å kopiere og lime inn en sti i Filutforsker for å få tilgang til den, men den vennlige instruksjonen er et lureri.

FileFix-trikset

FileFix skiller seg fra lignende teknikker ved hvordan den får kode utført lokalt. I stedet for å be ofrene om å åpne Kjør-dialogboksen og lime inn en kommando, misbruker FileFix nettleserens funksjonalitet for filopplasting/kopiering, slik at ofrene limer inn en streng i adressefeltet i Filutforsker. Den synlige teksten ser ut som en uskyldig filsti, men utklippstavlen inneholder faktisk en ondsinnet flertrinns PowerShell-kommando med etterfølgende mellomrom, slik at bare den ufarlige stien vises når den limes inn. Når offeret åpner Filutforsker og limer inn, kjøres den skjulte kommandoen lokalt.

Angrepskjede

Brukeren blir omdirigert fra en phishing-e-post til et sterkt tilslørt flerspråklig falskt nettsted.

• Når du klikker på nettstedets knapp, utløses FileFix-flyten, og utklippstavlen fylles ut med en skjult PowerShell-kommando.
• PowerShell-skriptet laster ned tilsynelatende godartede bilder fra et Bitbucket-repositorium.
• Bildene dekodes til nyttelasten i neste trinn.
• En Go-basert laster kjøres, pakker ut skallkode og starter til slutt StealC-info-stealeren.

Misbruk av pålitelige hostingtjenester

Operatørene lagrer kodede nyttelaster i bilder på et Bitbucket-lager. Bruk av en anerkjent kildekodeplattform hjelper angriperne med å skjule trafikk i ellers legitime forespørsler og reduserer sjansen for automatisk blokkering basert på destinasjonens omdømme.

Obfuskasjons- og antianalyseteknikker

Phishing-sidene og -skriptene er ikke enkle: operatørene brukte avansert obfuskering, fragmentering og søppelkode for å frustrere menneskelige analytikere og automatiserte skannere. Infrastrukturen er flerspråklig og polert, noe som øker sjansen for å lure ikke-engelsktalende og får nettstedet til å virke autentisk.

FileFix vs. ClickFix

FileFix misbruker en nettleserflyt for filopplasting/kopiering, slik at ofrene limer inn filer i adressefeltet i Filutforsker i stedet for å starte Kjør-dialogboksen.

ClickFix krever liming inn i Kjør-dialogboksen (eller Terminal på macOS) og startes fra Explorer.exe eller en terminaløkt.

Praktisk effekt : FileFix kan omgå forsvar som blokkerer bruk av Kjør-dialogboksen, fordi den i stedet utnytter en mye brukt nettleserfunksjon.

Deteksjonsnyanse : fordi FileFix involverer offerets nettleser som utløser utførelseskjeden, kan aktiviteten være mer synlig for endepunktovervåking eller hendelsesundersøkelse enn Run-dialog-vinduene som brukes av ClickFix – men den omgås fortsatt mange sluttbrukerbeskyttelser gjennom bedrag.

Trusselaktørers utviklende teknikker

Denne kampanjen viser en bevisst og ressurssterk tilnærming: nøye konstruert phishing-infrastruktur, nyttelastdesign i flere trinn og bruk av pålitelig tredjepartshosting for å maksimere både skjult og operativ rekkevidde. Motstanderens håndverk indikerer at de planla å unngå generisk deteksjon og oppnå pålitelig utførelse på tvers av ulike mål.