Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware FileFix Social Engineering-aanval

FileFix Social Engineering-aanval

Tegen Mezo in Malware, Phishing
Vertalen naar:

Onderzoekers hebben een recente phishingcampagne ontdekt die een variant van de social-engineeringtechniek FileFix gebruikt om de StealC-informatiestealer te verspreiden. De campagne maakt gebruik van een gelikte, meertalige nepwebsite (waaronder een namaakpagina met de naam 'Facebook Security'), zware verduisterings- en anti-analysetrucs, en een ongebruikelijke payload-leveringsketen die legitieme services misbruikt om detectie te omzeilen.

Hoe slachtoffers worden gelokt

De aanval begint meestal met een e-mail waarin de ontvangers worden geïnformeerd dat hun Facebook-account het risico loopt te worden geschorst vanwege vermeende beleidsschendingen en hen worden aangespoord in beroep te gaan. Door op de link te klikken, wordt de gebruiker doorgestuurd naar een overtuigende phishingpagina. Die pagina belooft een PDF van de vermeende schending en instrueert de gebruiker om een pad naar de Verkenner te kopiëren en te plakken om er toegang toe te krijgen, maar die vriendelijke instructie blijkt een list.

De FileFix-truc

FileFix verschilt van vergelijkbare technieken in de manier waarop code lokaal wordt uitgevoerd. In plaats van slachtoffers te vragen het dialoogvenster 'Uitvoeren' te openen en een opdracht te plakken, misbruikt FileFix de functionaliteit van de browser voor het uploaden en kopiëren van bestanden, waardoor slachtoffers een tekenreeks in de adresbalk van de Verkenner plakken. De zichtbare tekst ziet eruit als een onschuldig bestandspad, maar het klembord bevat in werkelijkheid een kwaadaardige PowerShell-opdracht met meerdere stappen en spaties aan het einde, waardoor alleen het onschuldige pad wordt weergegeven na het plakken. Wanneer het slachtoffer de Verkenner opent en plakt, wordt de verborgen opdracht lokaal uitgevoerd.

Aanvalsketen

De gebruiker wordt van een phishing-e-mail doorgestuurd naar een zwaar gemaskeerde, meertalige nepwebsite.

  • Wanneer u op de knop van de site klikt, wordt de FileFix-stroom geactiveerd en wordt het klembord gevuld met een verborgen PowerShell-opdracht.
  • Het PowerShell-script downloadt ogenschijnlijk onschuldige afbeeldingen uit een Bitbucket-repository.
  • De beelden worden gedecodeerd en omgezet naar de volgende fase van de payload.
  • Er wordt een Go-gebaseerde loader uitgevoerd, die de shellcode uitpakt en tot slot de StealC info-stealer start.

Misbruik van vertrouwde hostingdiensten

De operators hosten gecodeerde payloads in afbeeldingen op een Bitbucket-repository. Door gebruik te maken van een gerenommeerd platform voor broncodehosting kunnen aanvallers verkeer in anderszins legitieme verzoeken verbergen en de kans op automatische blokkering op basis van de reputatie van de bestemming verkleinen.

Verduisterings- en anti-analysetechnieken

De phishingpagina's en -scripts zijn niet eenvoudig: de beheerders gebruikten geavanceerde verduistering, fragmentatie en ongewenste code om menselijke analisten en geautomatiseerde scanners te frustreren. De infrastructuur is meertalig en verfijnd, waardoor de kans groter is dat niet-Engelstaligen worden misleid en de site authentiek overkomt.

FileFix versus ClickFix

FileFix misbruikt een bestandsupload-/kopieerproces in de browser, waardoor slachtoffers bestanden in de adresbalk van de Verkenner plakken in plaats van het dialoogvenster Uitvoeren te openen.

ClickFix moet worden geplakt in het dialoogvenster Uitvoeren (of in de Terminal op macOS) en wordt gestart via Explorer.exe of een terminalsessie.

Praktische impact : FileFix kan verdedigingen omzeilen die het gebruik van het dialoogvenster Uitvoeren blokkeren, omdat het in plaats daarvan gebruikmaakt van een veelgebruikte browserfunctie.

Detectienuance : omdat FileFix de browser van het slachtoffer inschakelt om de uitvoeringsketen te activeren, is de activiteit mogelijk beter zichtbaar voor eindpuntbewaking of incidentonderzoek dan de Run-dialoogvensters die ClickFix gebruikt. Toch worden hiermee nog steeds veel beschermingsmaatregelen van eindgebruikers door middel van misleiding omzeild.

De evoluerende technieken van de bedreigingsactor

Deze campagne toont een weloverwogen, goed gefinancierde aanpak: een zorgvuldig ontworpen phishing-infrastructuur, een multi-stage payload-ontwerp en het gebruik van betrouwbare hosting van derden om zowel stealth als operationeel bereik te maximaliseren. De aanpak van de aanvaller geeft aan dat ze van plan waren om generieke detectie te vermijden en betrouwbare uitvoering te bereiken voor diverse doelen.

Trending

Meest bekeken

Bezig met laden...