Атака социальной инженерии FileFix
Исследователи раскрыли недавнюю фишинговую кампанию, использующую вариант метода социальной инженерии FileFix для доставки вредоносного ПО StealC, предназначенного для кражи информации. В основе кампании лежит тщательно продуманный многоязычный поддельный сайт (среди наблюдаемых примеров — поддельная страница «Безопасность Facebook»), мощные методы обфускации и противодействия анализу, а также необычная цепочка доставки вредоносной нагрузки, которая использует легитимные сервисы для обхода обнаружения.
Оглавление
Как заманивают жертв
Атака обычно начинается с электронного письма, сообщающего получателям о том, что их аккаунт Facebook может быть заблокирован из-за предполагаемых нарушений правил, и призывающего подать апелляцию. Нажатие на ссылку для подачи апелляции перенаправляет пользователя на убедительную фишинговую страницу. Эта страница обещает PDF-файл с описанием предполагаемого нарушения и предлагает пользователю скопировать и вставить путь к нему в Проводник, но эта дружелюбная инструкция — всего лишь уловка.
Хитрость FileFix
FileFix отличается от аналогичных техник тем, как он обеспечивает локальное выполнение кода. Вместо того, чтобы предлагать жертве открыть диалоговое окно «Выполнить» и вставить команду, FileFix использует функцию загрузки/копирования файлов браузера, чтобы жертвы вставляли строку в адресную строку Проводника. Видимый текст выглядит как безобидный путь к файлу, но буфер обмена на самом деле содержит вредоносную многоэтапную команду PowerShell с пробелами в конце, поэтому при вставке отображается только безопасный путь. Когда жертва открывает Проводник и вставляет команду, скрытая команда выполняется локально.
Цепь атаки
Пользователь перенаправляется с фишингового письма на сильно запутанный многоязычный поддельный сайт.
- Нажатие кнопки сайта запускает процесс FileFix, а буфер обмена заполняется скрытой командой PowerShell.
- Скрипт PowerShell загружает на первый взгляд безобидные изображения из репозитория Bitbucket.
- Изображения декодируются в полезную нагрузку следующего этапа.
- Запускается загрузчик на базе Go, распаковывает шеллкод и, наконец, запускает похититель информации StealC.
Злоупотребление услугами доверенного хостинга
Операторы размещают закодированные полезные данные внутри образов в репозитории Bitbucket. Использование надёжной платформы хостинга исходного кода помогает злоумышленникам скрывать трафик в легитимных запросах и снижает вероятность автоматической блокировки на основе репутации получателя.
Методы запутывания и антианализа
Фишинговые страницы и скрипты непросты: операторы использовали сложную обфускацию, фрагментацию и вредоносный код, чтобы сбить с толку аналитиков-людей и автоматизированные сканеры. Инфраструктура многоязычна и тщательно продумана, что повышает вероятность обмана пользователей, не говорящих по-английски, и создаёт видимость подлинности сайта.
FileFix против ClickFix
FileFix использует процесс загрузки/копирования файлов в браузере, чтобы жертвы вставляли адрес в адресную строку Проводника вместо того, чтобы открывать диалоговое окно «Выполнить».
ClickFix требует вставки в диалоговое окно «Выполнить» (или «Терминал» в macOS) и запускается из Explorer.exe или сеанса терминала.
Практическое влияние : FileFix может обходить защиту, блокирующую использование диалогового окна «Выполнить», поскольку вместо этого он использует широко используемую функцию браузера.
Нюанс обнаружения : поскольку FileFix использует браузер жертвы для запуска цепочки выполнения, эта активность может быть более заметна для мониторинга конечных точек или расследования инцидентов, чем порождения диалога «Выполнить», используемые ClickFix, — но она по-прежнему обходит многие средства защиты конечного пользователя с помощью обмана.
Развитие методов злоумышленников
Эта кампания демонстрирует продуманный, хорошо подготовленный подход: тщательно спроектированная фишинговая инфраструктура, многоэтапная разработка полезной нагрузки и использование доверенного стороннего хостинга для максимальной скрытности и оперативного охвата. Тактика злоумышленника указывает на то, что он планировал избежать стандартного обнаружения и обеспечить надёжное выполнение атак по разным целям.
