Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Atak socjotechniczny FileFix

Atak socjotechniczny FileFix

Do Mezo w Złośliwe oprogramowanie, Phishing
Przetłumacz na:

Badacze odkryli niedawną kampanię phishingową, która wykorzystuje odmianę techniki socjotechnicznej FileFix do dostarczania złodzieja informacji StealC. Kampania opiera się na dopracowanej, wielojęzycznej fałszywej stronie (obserwacje obejmują fałszywą stronę „Facebook Security”), zaawansowanych sztuczkach zaciemniających i antyanalizujących oraz nietypowym łańcuchu dostarczania danych, który wykorzystuje legalne usługi, aby uniknąć wykrycia.

Jak zwabia się ofiary

Atak zazwyczaj rozpoczyna się od wiadomości e-mail informującej odbiorców, że ich konto na Facebooku jest zagrożone zawieszeniem z powodu domniemanego naruszenia zasad i wzywającej do odwołania. Kliknięcie linku odwołania przekierowuje użytkownika na przekonującą stronę phishingową. Strona ta obiecuje plik PDF z rzekomym naruszeniem i instruuje użytkownika, aby skopiował i wkleił ścieżkę do Eksploratora plików, aby uzyskać do niego dostęp. Jednak ta przyjazna instrukcja to podstęp.

Sztuczka FileFix

FileFix różni się od podobnych technik sposobem, w jaki wymusza lokalne wykonywanie kodu. Zamiast prosić ofiary o otwarcie okna dialogowego Uruchom i wklejenie polecenia, FileFix wykorzystuje funkcję przesyłania/kopiowania plików w przeglądarce, wklejając ciąg znaków w pasek adresu Eksploratora plików. Widoczny tekst wygląda jak nieszkodliwa ścieżka dostępu do pliku, ale w rzeczywistości schowek zawiera złośliwe, wieloetapowe polecenie programu PowerShell ze spacjami na końcu, przez co po wklejeniu pojawia się tylko nieszkodliwa ścieżka dostępu. Gdy ofiara otwiera Eksplorator plików i wkleja polecenie, ukryte polecenie jest wykonywane lokalnie.

Łańcuch ataku

Użytkownik zostaje przekierowany z wiadomości phishingowej na mocno zaciemnioną, wielojęzyczną fałszywą stronę.

  • Kliknięcie przycisku witryny uruchamia przepływ FileFix, a schowek zostaje wypełniony ukrytym poleceniem programu PowerShell.
  • Skrypt programu PowerShell pobiera pozornie nieszkodliwe obrazy z repozytorium Bitbucket.
  • Obrazy są dekodowane i przetwarzane na następny etap ładunku.
  • Uruchomiony zostaje program ładujący oparty na języku Go, który rozpakowuje kod powłoki i na koniec uruchamia program do kradzieży informacji StealC.

Nadużywanie zaufanych usług hostingowych

Operatorzy hostują zakodowane ładunki w obrazach w repozytorium Bitbucket. Korzystanie z renomowanej platformy do hostingu kodu źródłowego pomaga atakującym ukryć ruch w żądaniach, które w innym przypadku byłyby uzasadnione, i zmniejsza ryzyko automatycznego blokowania na podstawie reputacji miejsca docelowego.

Techniki zaciemniania i antyanalizy

Strony i skrypty phishingowe nie są proste: operatorzy stosowali zaawansowane zaciemnianie, fragmentację i kod śmieciowy, aby zmylić analityków i automatyczne skanery. Infrastruktura jest wielojęzyczna i dopracowana, co zwiększa szansę na oszukanie osób nieznających języka angielskiego i sprawia, że strona wydaje się autentyczna.

FileFix kontra ClickFix

FileFix wykorzystuje nadużycie w procesie przesyłania/kopiowania plików w przeglądarce, przez co ofiary wklejają je w pasek adresu Eksploratora plików zamiast uruchamiać okno dialogowe Uruchom.

Aplikację ClickFix należy wkleić do okna dialogowego Uruchom (lub Terminalu w systemie macOS) i uruchamia się z poziomu pliku Explorer.exe lub sesji terminala.

Praktyczne skutki : FileFix potrafi ominąć zabezpieczenia blokujące użycie okna dialogowego Uruchom, ponieważ wykorzystuje powszechnie używaną funkcję przeglądarki.

Niuanse wykrywania : ponieważ FileFix wymaga uruchomienia łańcucha wykonywalnego przez przeglądarkę ofiary, aktywność ta może być bardziej widoczna dla monitorowania punktów końcowych lub badania incydentów niż okna dialogowe Uruchom używane przez ClickFix — jednak nadal omija wiele zabezpieczeń użytkownika końcowego poprzez oszustwo.

Ewoluujące techniki aktorów zagrożeń

Ta kampania jest przykładem przemyślanego, dobrze zasobnego podejścia: starannie zaprojektowana infrastruktura phishingowa, wieloetapowy projekt ładunku i wykorzystanie zaufanego hostingu firm trzecich, aby zmaksymalizować zarówno zasięg ukryty, jak i operacyjny. Sprytne działania przeciwnika wskazują, że planowali uniknąć ogólnego wykrycia i osiągnąć niezawodność w przypadku różnych celów.

Popularne

Najczęściej oglądane

Ładowanie...