Útok sociálneho inžinierstva FileFix
Výskumníci odhalili nedávnu phishingovú kampaň, ktorá využíva variant techniky sociálneho inžinierstva FileFix na doručenie únoscu informácií StealC. Kampaň sa spolieha na prepracovanú, viacjazyčnú falošnú stránku (medzi pozorované príklady patrí falošná stránka „Facebook Security“), rozsiahle triky zahmlievania a anti-analýzy a nezvyčajný reťazec doručovania užitočného zaťaženia, ktorý zneužíva legitímne služby, aby sa vyhol odhaleniu.
Obsah
Ako sú obete lákané
Útok zvyčajne začína e-mailom, v ktorom sa príjemcom oznámi, že ich účet na Facebooku je ohrozený z dôvodu údajného porušenia pravidiel, a vyzve sa ich na odvolanie. Kliknutie na odkaz na odvolanie presmeruje používateľa na presvedčivú phishingovú stránku. Táto stránka sľubuje PDF súbor s údajným porušením a dáva používateľovi pokyn, aby skopíroval a vložil cestu do Prieskumníka súborov, aby k nemu získal prístup, ale priateľský pokyn je len podvod.
Trik FileFixu
FileFix sa od podobných techník líši v spôsobe, akým lokálne spúšťa kód. Namiesto toho, aby obete požiadal o otvorenie dialógového okna Spustiť a vloženie príkazu, FileFix zneužíva funkciu prehliadača na nahrávanie/kopírovanie súborov, takže obete vložia reťazec do adresného riadka Prieskumníka súborov. Viditeľný text vyzerá ako neškodná cesta k súboru, ale schránka v skutočnosti obsahuje škodlivý viacstupňový príkaz PowerShell s koncovými medzerami, takže po vložení sa zobrazí iba neškodná cesta. Keď obeť otvorí Prieskumníka súborov a vloží príkaz, skrytý príkaz sa vykoná lokálne.
Útočný reťazec
Používateľ je presmerovaný z phishingového e-mailu na silne zahalenú viacjazyčnú falošnú stránku.
- Kliknutím na tlačidlo lokality sa spustí tok FileFix a schránka sa naplní skrytým príkazom PowerShellu.
- Skript PowerShell sťahuje zdanlivo neškodné obrázky z repozitára Bitbucket.
- Obrázky sa dekódujú do užitočného zaťaženia nasledujúcej fázy.
- Spustí sa zavádzací program založený na jazyku Go, rozbalí shellcode a nakoniec spustí nástroj StealC na ukradnutie informácií.
Zneužívanie dôveryhodných hostingových služieb
Prevádzkovatelia hostujú kódované užitočné dáta vo vnútri obrázkov v repozitári Bitbucket. Použitie renomovanej platformy na hosting zdrojového kódu pomáha útočníkom skryť prevádzku v inak legitímnych požiadavkách a znižuje pravdepodobnosť automatického blokovania na základe reputácie cieľa.
Techniky zahmlievania a antianalýzy
Phishingové stránky a skripty nie sú jednoduché: operátori používali pokročilé zahmlievanie, fragmentáciu a nežiaduci kód, aby frustrovali ľudských analytikov a automatizované skenery. Infraštruktúra je viacjazyčná a prepracovaná, čo zvyšuje šancu oklamať ľudí, ktorí nehovoria anglicky, a vďaka tomu stránka pôsobí autenticky.
FileFix vs. ClickFix
FileFix zneužíva proces nahrávania/kopírovania súborov v prehliadači, takže obete ich vkladajú do adresného riadka Prieskumníka súborov namiesto spustenia dialógového okna Spustiť.
ClickFix vyžaduje vloženie do dialógového okna Spustiť (alebo Terminálu v systéme macOS) a spúšťa sa z Explorer.exe alebo terminálovej relácie.
Praktický dopad : FileFix dokáže obísť obranu, ktorá blokuje použitie dialógového okna Spustiť, pretože namiesto toho využíva široko používanú funkciu prehliadača.
Nuansy detekcie : keďže FileFix spúšťa reťazec vykonávania v prehliadači obete, aktivita môže byť viditeľnejšia pre monitorovanie koncových bodov alebo vyšetrovanie incidentov ako dialógové okno Spustiť, ktoré používa ClickFix – stále však obchádza mnohé ochrany koncových používateľov prostredníctvom podvodu.
Vyvíjajúce sa techniky aktéra hrozby
Táto kampaň preukazuje premyslený a dobre zabezpečený prístup: starostlivo navrhnutá phishingová infraštruktúra, viacstupňový návrh užitočného zaťaženia a využitie dôveryhodného hostingu tretích strán s cieľom maximalizovať utajenie aj operačný dosah. Zručnosť útočníka naznačuje, že sa plánoval vyhnúť všeobecnej detekcii a dosiahnuť spoľahlivé vykonanie naprieč rôznymi cieľmi.
