Napad socialnega inženiringa FileFix
Raziskovalci so odkrili nedavno phishing kampanjo, ki za dostavo programske opreme za krajo informacij StealC uporablja različico tehnike socialnega inženiringa FileFix. Kampanja se opira na dodelano, večjezično lažno spletno mesto (opaženi primeri vključujejo ponarejeno stran »Facebook Security«), močne trike za zakrivanje in preprečevanje analize ter nenavadno verigo dostave koristnega tovora, ki zlorablja legitimne storitve, da bi se izognila odkrivanju.
Kazalo
Kako so žrtve zvabljene
Napad se običajno začne z e-poštnim sporočilom, v katerem se prejemnikom sporoči, da jim grozi začasna blokada njihovega Facebook računa zaradi domnevnih kršitev pravilnikov, in se jih pozove k pritožbi. Klik na povezavo za pritožbo uporabnika preusmeri na prepričljivo stran za lažno predstavljanje. Ta stran obljublja PDF z domnevno kršitvijo in uporabniku naroči, naj kopira in prilepi pot v Raziskovalca, da do nje dostopa, vendar je prijazno navodilo le zvijača.
Trik FileFixa
FileFix se od podobnih tehnik razlikuje po tem, kako doseže lokalno izvajanje kode. Namesto da bi žrtve pozval, naj odprejo pogovorno okno Zaženi in prilepijo ukaz, FileFix zlorablja funkcijo nalaganja/kopiranje datotek v brskalniku, tako da žrtve prilepijo niz v naslovno vrstico Raziskovalca. Vidno besedilo je videti kot neškodljiva pot do datoteke, vendar odložišče dejansko vsebuje zlonameren večstopenjski ukaz PowerShell s presledki na koncu, tako da se pri lepljenju prikaže le neškodljiva pot. Ko žrtev odpre Raziskovalec in prilepi, se skriti ukaz izvede lokalno.
Napadalna veriga
Uporabnik je preusmerjen iz lažnega e-poštnega sporočila na močno zakrito večjezično lažno spletno mesto.
- S klikom na gumb spletnega mesta se sproži potek FileFix, odložišče pa se napolni s skritim ukazom PowerShell.
- Skript PowerShell prenese na videz neškodljive slike iz repozitorija Bitbucket.
- Slike se dekodirajo v koristni tovor naslednje stopnje.
- Zažene se nalagalnik, ki temelji na Go-ju, razpakira shellcode in na koncu zažene StealC info-stealer.
Zloraba zaupanja vrednih storitev gostovanja
Operaterji gostijo kodirane koristne tovore znotraj slik v repozitoriju Bitbucket. Uporaba ugledne platforme za gostovanje izvorne kode pomaga napadalcem skriti promet v sicer legitimnih zahtevah in zmanjša možnost samodejnega blokiranja na podlagi ugleda cilja.
Tehnike zamegljevanja in antianalize
Strani in skripti za lažno predstavljanje niso preprosti: operaterji so uporabljali napredno zakrivanje, fragmentacijo in neželeno kodo, da bi frustrirali človeške analitike in avtomatizirane skenerje. Infrastruktura je večjezična in dodelana, kar povečuje možnost zavajanja neangleško govorečih in daje spletnemu mestu videz pristnosti.
FileFix proti ClickFixu
FileFix zlorablja postopek nalaganja/kopiranje datotek v brskalniku, tako da žrtve prilepijo datoteke v naslovno vrstico Raziskovalca, namesto da bi odprle pogovorno okno Zaženi.
ClickFix zahteva lepljenje v pogovorno okno Zaženi (ali Terminal v sistemu macOS) in se zažene iz Explorer.exe ali terminalske seje.
Praktični vpliv : FileFix lahko zaobide obrambe, ki blokirajo uporabo pogovornega okna Zaženi, ker namesto tega uporablja pogosto uporabljeno funkcijo brskalnika.
Niansa zaznavanja : ker FileFix sproži verigo izvajanja s strani brskalnika žrtve, je dejavnost lahko bolj vidna za spremljanje končnih točk ali preiskavo incidentov kot pa pogovorna okna »Zaženi«, ki jih uporablja ClickFix – vendar še vedno s prevaro premaga številne zaščite končnih uporabnikov.
Razvoj tehnik akterja grožnje
Ta kampanja kaže na premišljen in dobro podprt pristop: skrbno zasnovano infrastrukturo za lažno predstavljanje, večstopenjsko zasnovo koristnega tovora in uporabo zaupanja vrednega gostovanja tretjih oseb za maksimiranje tako prikritosti kot operativnega dosega. Nasprotnikove spretnosti kažejo, da so načrtovali izogibanje generičnemu odkrivanju in doseganje zanesljive izvedbe na različnih ciljih.
