फाइलफिक्स सामाजिक इन्जिनियरिङ आक्रमण
अनुसन्धानकर्ताहरूले हालैको फिसिङ अभियान पत्ता लगाएका छन् जसले StealC जानकारी चोरी गर्ने उपकरण डेलिभर गर्न फाइलफिक्स सामाजिक-इन्जिनियरिङ प्रविधिको एक प्रकार प्रयोग गर्दछ। यो अभियान एक पालिश गरिएको, बहुभाषी नक्कली साइट (उदाहरणहरूमा नक्कली 'फेसबुक सुरक्षा' पृष्ठ समावेश छ), भारी अस्पष्टता र विश्लेषण विरोधी चालहरू, र पत्ता लगाउनबाट बच्न वैध सेवाहरूको दुरुपयोग गर्ने असामान्य पेलोड डेलिभरी शृङ्खलामा निर्भर गर्दछ।
सामग्रीको तालिका
पीडितहरूलाई कसरी लोभ्याइन्छ
आक्रमण सामान्यतया प्राप्तकर्ताहरूलाई उनीहरूको फेसबुक खाता कथित नीति उल्लङ्घनको लागि निलम्बनको जोखिममा छ भनी बताउने र अपील गर्न आग्रह गर्ने इमेलबाट सुरु हुन्छ। अपील लिङ्कमा क्लिक गर्नाले प्रयोगकर्तालाई एक विश्वसनीय फिसिङ पृष्ठमा रिडिरेक्ट गर्छ। त्यो पृष्ठले कथित उल्लङ्घनको PDF को वाचा गर्दछ र प्रयोगकर्तालाई फाइल एक्सप्लोररमा पहुँच गर्नको लागि एउटा मार्ग प्रतिलिपि गरेर टाँस्न निर्देशन दिन्छ, तर मैत्रीपूर्ण निर्देशन एक चाल हो।
फाइलफिक्स ट्रिक
फाइलफिक्सले स्थानीय रूपमा कोड कसरी कार्यान्वयन गर्छ भन्ने कुरामा समान प्रविधिहरू भन्दा फरक छ। पीडितहरूलाई रन संवाद खोल्न र आदेश टाँस्न भन्नुको सट्टा, फाइलफिक्सले ब्राउजरको फाइल-अपलोड / प्रतिलिपि कार्यक्षमताको दुरुपयोग गर्दछ ताकि पीडितहरूले फाइल एक्सप्लोरर ठेगाना पट्टीमा स्ट्रिङ टाँस्छन्। देखिने पाठ एक निर्दोष फाइल मार्ग जस्तो देखिन्छ, तर क्लिपबोर्डमा वास्तवमा ट्रेलिङ स्पेसहरू भएको दुर्भावनापूर्ण बहु-चरण PowerShell आदेश समावेश छ त्यसैले टाँस्दा हानिरहित मार्ग मात्र देखिन्छ। जब पीडितले फाइल एक्सप्लोरर खोल्छ र टाँस्छ, लुकेको आदेश स्थानीय रूपमा कार्यान्वयन हुन्छ।
आक्रमण श्रृंखला
प्रयोगकर्तालाई फिसिङ इमेलबाट अत्यधिक अस्पष्ट बहुभाषिक नक्कली साइटमा रिडिरेक्ट गरिन्छ।
- साइटको बटनमा क्लिक गर्नाले फाइलफिक्स प्रवाह सुरु हुन्छ, र क्लिपबोर्ड लुकेको पावरशेल आदेशले भरिन्छ।
- PowerShell स्क्रिप्टले Bitbucket भण्डारबाट देखिने सौम्य छविहरू डाउनलोड गर्छ।
- तस्बिरहरूलाई अर्को चरणको पेलोडमा डिकोड गरिन्छ।
- गो-आधारित लोडर कार्यान्वयन गरिन्छ, शेलकोड अनप्याक हुन्छ, र अन्तमा StealC जानकारी-चोर्ने सुरुवात गर्दछ।
विश्वसनीय होस्टिंग सेवाहरूको दुरुपयोग
अपरेटरहरूले बिटबकेट भण्डारमा छविहरू भित्र एन्कोड गरिएका पेलोडहरू होस्ट गर्छन्। एक प्रतिष्ठित स्रोत-कोड होस्टिंग प्लेटफर्म प्रयोग गर्नाले आक्रमणकारीहरूलाई अन्यथा वैध अनुरोधहरूमा ट्राफिक लुकाउन मद्दत गर्दछ र गन्तव्य प्रतिष्ठाको आधारमा स्वचालित ब्लकिङको सम्भावना कम गर्दछ।
अस्पष्टता र विश्लेषण विरोधी प्रविधिहरू
फिसिङ पृष्ठहरू र स्क्रिप्टहरू सरल छैनन्: अपरेटरहरूले मानव विश्लेषकहरू र स्वचालित स्क्यानरहरूलाई निराश पार्न उन्नत अस्पष्टता, विखंडन र जंक कोड प्रयोग गरे। पूर्वाधार बहुभाषी र पॉलिश गरिएको छ, जसले गैर-अंग्रेजी बोल्नेहरूलाई धोका दिने र साइटलाई प्रामाणिक देखाउने सम्भावना बढाउँछ।
फाइलफिक्स बनाम क्लिकफिक्स
फाइलफिक्सले ब्राउजरको फाइल-अपलोड/प्रतिलिपि प्रवाहको दुरुपयोग गर्छ त्यसैले पीडितहरूले रन संवाद सुरु गर्नुको सट्टा फाइल एक्सप्लोररको ठेगाना पट्टीमा टाँस्छन्।
ClickFix लाई Run संवाद (वा macOS मा टर्मिनल) मा टाँस्न आवश्यक पर्दछ र यो Explorer.exe वा टर्मिनल सत्रबाट उत्पन्न हुन्छ।
व्यावहारिक प्रभाव : फाइलफिक्सले रन संवादको प्रयोगलाई रोक्ने प्रतिरक्षाहरूलाई बाइपास गर्न सक्छ, किनभने यसले व्यापक रूपमा प्रयोग हुने ब्राउजर सुविधाको प्रयोग गर्दछ।
पत्ता लगाउने सूक्ष्मता : फाइलफिक्समा पीडितको ब्राउजरले कार्यान्वयन श्रृंखला ट्रिगर गर्ने भएकोले, गतिविधि ClickFix द्वारा प्रयोग गरिएको रन-संवाद स्पोन भन्दा अन्त्यबिन्दु अनुगमन वा घटना अनुसन्धानमा बढी देखिने हुन सक्छ - तर यसले अझै पनि छल मार्फत धेरै अन्त-प्रयोगकर्ता सुरक्षाहरूलाई पराजित गर्दछ।
धम्की दिने अभिनेताको विकसित प्रविधिहरू
यो अभियानले जानाजानी, राम्रोसँग स्रोतसाधनयुक्त दृष्टिकोण देखाउँछ: सावधानीपूर्वक इन्जिनियर गरिएको फिसिङ पूर्वाधार, बहु-चरण पेलोड डिजाइन, र चोरी र सञ्चालन पहुँच दुवैलाई अधिकतम बनाउन विश्वसनीय तेस्रो-पक्ष होस्टिङको प्रयोग। विरोधीको व्यापारले उनीहरूले सामान्य पत्ता लगाउनबाट बच्न र विविध लक्ष्यहरूमा भरपर्दो कार्यान्वयन प्राप्त गर्ने योजना बनाएको संकेत गर्दछ।
