Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Atacul de inginerie socială FileFix

Atacul de inginerie socială FileFix

Până în Mezo în Programe malware, phishing
Tradu in:

Cercetătorii au descoperit o campanie recentă de phishing care folosește o variantă a tehnicii de inginerie socială FileFix pentru a distribui atacul informatic StealC. Campania se bazează pe un site fals, multilingv și rafinat (exemplele observate includ o pagină contrafăcută de tip „Securitate Facebook”), trucuri puternice de ofuscare și anti-analiză și un lanț neobișnuit de livrare a sarcinii utile care abuzează de servicii legitime pentru a evita detectarea.

Cum sunt ademenite victimele

Atacul începe de obicei cu un e-mail care le spune destinatarilor că există riscul suspendării contului lor de Facebook pentru presupuse încălcări ale politicii și îi îndeamnă să facă apel. Dacă se dă clic pe linkul de apel, utilizatorul este redirecționat către o pagină de phishing convingătoare. Pagina respectivă promite un fișier PDF cu presupusa încălcare și instruiește utilizatorul să copieze și să lipească o cale în File Explorer pentru a o accesa, dar instrucțiunea prietenoasă este o vicleșug.

Trucul FileFix

FileFix diferă de tehnici similare prin modul în care execută codul local. În loc să le ceară victimelor să deschidă caseta de dialog Executare și să lipească o comandă, FileFix utilizează în mod abuziv funcționalitatea de încărcare/copiere a fișierelor din browser, astfel încât victimele lipesc un șir de caractere în bara de adrese a File Explorer. Textul vizibil arată ca o cale de fișier inofensivă, dar clipboard-ul conține de fapt o comandă PowerShell multi-etapă malițioasă, cu spații la final, astfel încât apare doar calea inofensivă la lipire. Când victima deschide File Explorer și lipește, comanda ascunsă se execută local.

Lanțul de atac

Utilizatorul este redirecționat de la un e-mail de phishing către un site fals multilingv, puternic ofuscat.

  • Dacă faceți clic pe butonul site-ului, fluxul FileFix se declanșează, iar clipboard-ul este populat cu o comandă PowerShell ascunsă.
  • Scriptul PowerShell descarcă imagini aparent benigne dintr-un depozit Bitbucket.
  • Imaginile sunt decodificate în sarcina utilă din etapa următoare.
  • Un încărcător bazat pe Go este executat, despachetează codul shell și în final lansează info-stealer-ul StealC.

Abuzarea serviciilor de găzduire de încredere

Operatorii găzduiesc sarcini utile codificate în imagini într-un depozit Bitbucket. Utilizarea unei platforme de găzduire a codului sursă reputate îi ajută pe atacatori să ascundă traficul în cereri altfel legitime și reduce șansa blocării automate pe baza reputației destinației.

Tehnici de ofuscare și anti-analiză

Paginile și scripturile de phishing nu sunt simple: operatorii au folosit ofuscare avansată, fragmentare și cod nedorit pentru a frustra analiștii umani și scanerii automati. Infrastructura este multilingvă și rafinată, crescând șansele de a păcăli persoanele care nu vorbesc limba engleză și făcând site-ul să pară autentic.

FileFix vs. ClickFix

FileFix abuzează de un flux de încărcare/copiere a fișierelor din browser, astfel încât victimele le lipesc în bara de adrese a File Explorer în loc să deschidă caseta de dialog Executare.

ClickFix necesită lipirea în caseta de dialog Executare (sau Terminal pe macOS) și este generat din Explorer.exe sau dintr-o sesiune de terminal.

Impact practic : FileFix poate ocoli apărările care blochează utilizarea casetei de dialog Executare, deoarece utilizează în schimb o funcție de browser utilizată pe scară largă.

Nuanțe de detectare : deoarece FileFix implică browserul victimei care declanșează lanțul de execuție, activitatea poate fi mai vizibilă pentru monitorizarea endpoint-urilor sau investigarea incidentelor decât fereastra de dialog Run utilizată de ClickFix — dar totuși elimină multe protecții ale utilizatorilor finali prin înșelăciune.

Tehnicile în evoluție ale actorului amenințător

Această campanie demonstrează o abordare deliberată și cu resurse suficiente: o infrastructură de phishing proiectată cu atenție, un design al sarcinii utile în mai multe etape și utilizarea unui serviciu de găzduire terță parte de încredere pentru a maximiza atât acoperirea ascunsă, cât și cea operațională. Artele adversarului indică faptul că acesta a plănuit să evite detectarea generică și să obțină o execuție fiabilă pe diverse ținte.

Trending

American Express - Escrocherie prin e-mail privind...

phishing, Spam
Cercetătorii în domeniul securității cibernetice au identificat o campanie rău intenționată care distribuie mesaje frauduloase, cunoscută sub numele de escrocheria prin e-mail „American Express – Tranzacție contestată”. Aceste mesaje pretind că provin de la American Express, dar, în realitate, sunt complet false. Obiectivul escrocheriei este de a păcăli destinatarii să viziteze un site web de...

Cele mai văzute

Se încarcă...