Напад друштвеним инжењерингом FileFix-а
Истраживачи су открили недавну фишинг кампању која користи варијанту технике социјалног инжењеринга FileFix за испоруку крадљивца информација StealC. Кампања се ослања на углађени, вишејезични лажни сајт (примећени примери укључују фалсификовану страницу „Facebook Security“), тешке трикове за замагљивање и анти-аналитику, као и необичан ланац испоруке корисног терета који злоупотребљава легитимне сервисе како би избегао откривање.
Преглед садржаја
Како се жртве намамљују
Напад обично почиње имејлом у којем се примаоцима обавештава да им је Фејсбук налог у опасности од суспензије због наводног кршења правила и позива се да се жале. Клик на линк за жалбу преусмерава корисника на убедљиву фишинг страницу. Та страница обећава ПДФ са наводним кршењем правила и упућује корисника да копира и налепи путању у File Explorer да би јој приступио, али пријатељско упутство је превара.
Трик са FileFix-ом
FileFix се разликује од сличних техника по начину на који локално извршава код. Уместо да тражи од жртава да отворе дијалог „Покрени“ и налепе команду, FileFix злоупотребљава функционалност претраживача за отпремање/копирање датотека, тако да жртве налепљују стринг у адресну траку File Explorer-а. Видљиви текст изгледа као безопасна путања датотеке, али међуспремник заправо садржи злонамерну вишестепену PowerShell команду са размацима на крају, тако да се након лепљења појављује само безопасна путања. Када жртва отвори File Explorer и налепи команду, скривена команда се извршава локално.
Ланац напада
Корисник је преусмерен са фишинг имејла на јако замагљен вишејезични лажни сајт.
- Кликом на дугме сајта покреће се ток FileFix-а, а међуспремник се попуњава скривеном PowerShell командом.
- PowerShell скрипта преузима наизглед бенигне слике из Bitbucket репозиторијума.
- Слике се декодирају у корисни терет следеће фазе.
- Извршава се програм за учитавање података базиран на Go-у, распакује шелкод и коначно покреће StealC info-stealer.
Злоупотреба услуга поузданог хостинга
Оператори хостују кодиране корисне податке унутар слика на Bitbucket репозиторијуму. Коришћење реномиране платформе за хостовање изворног кода помаже нападачима да сакрију саобраћај у иначе легитимним захтевима и смањује шансе за аутоматско блокирање на основу репутације одредишта.
Технике замагљивања и анти-анализа
Фишинг странице и скрипте нису једноставне: оператери су користили напредно замагљивање, фрагментацију и нежељени код како би фрустрирали људске аналитичаре и аутоматизоване скенере. Инфраструктура је вишејезична и углађена, што повећава шансе за превару оних који не говоре енглески језик и чини да сајт изгледа аутентично.
FileFix наспрам ClickFix-а
FileFix злоупотребљава ток отпремања/копирања датотека у прегледачу тако да жртве лепе датотеке у адресну траку File Explorer-а уместо да покрећу дијалог „Покрени“.
ClickFix захтева лепљење у дијалог „Покрени“ (или „Терминал“ на macOS-у) и покреће се из Explorer.exe или терминалне сесије.
Практични утицај : FileFix може да заобиђе одбрану која блокира коришћење дијалога „Покрени“, јер уместо тога користи широко коришћену функцију прегледача.
Нијанса детекције : пошто FileFix укључује прегледач жртве који покреће ланац извршавања, активност може бити видљивија за праћење крајњих тачака или истрагу инцидената него што се појављују дијалози за покретање које користи ClickFix — али и даље обмањује многе заштите крајњих корисника обманом.
Технике развоја актера претње
Ова кампања показује промишљен, добро опремљен приступ: пажљиво осмишљену инфраструктуру за фишинг, вишестепени дизајн корисног терета и коришћење поузданог хостинга треће стране како би се максимизирала и прикривеност и оперативни домет. Вештина противника указује на то да је планирао да избегне генеричко откривање и да постигне поуздано извршење на различитим циљевима.
