Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Sulmi i Inxhinierisë Sociale FileFix

Sulmi i Inxhinierisë Sociale FileFix

Nga MezoMalware, Fishing
Përkthe në:

Studiuesit kanë zbuluar një fushatë të kohëve të fundit phishing që përdor një variant të teknikës së inxhinierisë sociale FileFix për të ofruar vjedhësin e informacionit StealC. Fushata mbështetet në një faqe të rreme shumëgjuhëshe dhe të rafinuar (shembujt e vërejtur përfshijnë një faqe të falsifikuar 'Facebook Security'), truke të rënda kundër analizës dhe mjegullimit, si dhe një zinxhir të pazakontë shpërndarjeje të ngarkesës së pagës që abuzon me shërbimet legjitime për të shmangur zbulimin.

Si joshen viktimat

Sulmi zakonisht fillon me një email që u tregon marrësve se llogaria e tyre në Facebook është në rrezik pezullimi për shkelje të dyshuara të politikave dhe i nxit ata të apelojnë. Klikimi i lidhjes së apelimit e ridrejton përdoruesin në një faqe bindëse phishing. Kjo faqe premton një PDF të shkeljes së supozuar dhe udhëzon përdoruesin të kopjojë dhe ngjisë një shteg në File Explorer për të aksesuar atë, por udhëzimi miqësor është një hile.

Truku i FileFix

FileFix ndryshon nga teknikat e ngjashme në mënyrën se si e ekzekuton kodin në nivel lokal. Në vend që t'u kërkojë viktimave të hapin dialogun Run dhe të ngjisin një komandë, FileFix keqpërdor funksionalitetin e ngarkimit/kopjimit të skedarëve të shfletuesit, kështu që viktimat ngjisin një varg në shiritin e adresave të File Explorer. Teksti i dukshëm duket si një shteg i padëmshëm skedari, por kujtesa në të vërtetë përmban një komandë PowerShell me shumë faza keqdashëse me hapësira në fund, kështu që vetëm shtegu i padëmshëm shfaqet kur ngjitet. Kur viktima hap File Explorer dhe e ngjis, komanda e fshehur ekzekutohet në nivel lokal.

Zinxhiri i Sulmit

Përdoruesi ridrejtohet nga një email phishing në një faqe të rreme shumëgjuhëshe, shumë të paqartë.

  • Klikimi i butonit të faqes aktivizon rrjedhën FileFix dhe kujtesa e përkohshme mbushet me një komandë të fshehur PowerShell.
  • Skripti PowerShell shkarkon imazhe në dukje të sigurta nga një depo Bitbucket.
  • Imazhet dekodifikohen në ngarkesën e fazës tjetër.
  • Një ngarkues i bazuar në Go ekzekutohet, çpaketon shellcode dhe më në fund lëshon vjedhësin e informacionit StealC.

Abuzimi i Shërbimeve të Besuara të Hostingut

Operatorët strehojnë ngarkesa të koduara brenda imazheve në një depo Bitbucket. Përdorimi i një platforme të besueshme të strehimit të kodit burimor i ndihmon sulmuesit të fshehin trafikun në kërkesa që përndryshe do të ishin legjitime dhe zvogëlon mundësinë e bllokimit automatik bazuar në reputacionin e destinacionit.

Teknikat e errësirës dhe anti-analizës

Faqet dhe skriptet e phishing nuk janë të thjeshta: operatorët përdorën mjegullim të avancuar, fragmentim dhe kod të padëshiruar për të frustruar analistët njerëzorë dhe skanerët e automatizuar. Infrastruktura është shumëgjuhëshe dhe e rafinuar, duke rritur mundësinë e mashtrimit të jo-anglishtfolësve dhe duke e bërë faqen të duket autentike.

FileFix kundrejt ClickFix

FileFix abuzon me një rrjedhë ngarkimi/kopjimi skedarësh të shfletuesit, kështu që viktimat i ngjitin në shiritin e adresave të File Explorer në vend që të hapin dialogun Run.

ClickFix kërkon ngjitje në dialogun Run (ose Terminal në macOS) dhe krijohet nga Explorer.exe ose një seancë terminali.

Ndikim praktik : FileFix mund të anashkalojë mbrojtjet që bllokojnë përdorimin e dialogut Run, sepse në vend të kësaj shfrytëzon një veçori të shfletuesit që përdoret gjerësisht.

Nuancë zbulimi : meqenëse FileFix përfshin shfletuesin e viktimës që aktivizon zinxhirin e ekzekutimit, aktiviteti mund të jetë më i dukshëm për monitorimin e pikës fundore ose hetimin e incidentit sesa shfaqjet e dialogut Run të përdorura nga ClickFix - por ai prapëseprapë mposht shumë mbrojtje të përdoruesit fundor përmes mashtrimit.

Teknikat në zhvillim të aktorëve kërcënues

Kjo fushatë tregon një qasje të qëllimshme dhe të pajisur mirë me burime: infrastrukturë të projektuar me kujdes për phishing, dizajn të ngarkesës shumëfazore dhe përdorim të hostingut të besueshëm të palëve të treta për të maksimizuar si fshehtësinë ashtu edhe shtrirjen operacionale. Aftësia e kundërshtarit tregon se ata planifikuan të shmangnin zbulimin e përgjithshëm dhe të arrinin ekzekutim të besueshëm në objektiva të ndryshëm.

Në trend

Më e shikuara

Po ngarkohet...