Rabattoffert för flera licenser
Hotdatabas Skadlig programvara FileFix Social Engineering-attack

FileFix Social Engineering-attack

Med Mezo år Skadlig programvara, Nätfiske
Översätt till:

Forskare har nyligen upptäckt en nätfiskekampanj som använder en variant av FileFix social engineering-teknik för att leverera informationsstölden StealC. Kampanjen bygger på en polerad, flerspråkig falsk webbplats (exempel som observerats inkluderar en förfalskad "Facebook Security"-sida), omfattande förvirring och antianalys-trick, och en ovanlig nyttolastleveranskedja som missbrukar legitima tjänster för att undvika upptäckt.

Hur offer lockas

Attacken börjar vanligtvis med ett e-postmeddelande som informerar mottagarna om att deras Facebook-konto riskerar att stängas av på grund av påstådda policyöverträdelser och uppmanar dem att överklaga. Genom att klicka på överklagandelänken omdirigeras användaren till en övertygande nätfiskesida. Den sidan utlovar en PDF av den påstådda överträdelsen och instruerar användaren att kopiera och klistra in en sökväg i Utforskaren för att komma åt den, men den vänliga instruktionen är ett bedrägeri.

FileFix-tricket

FileFix skiljer sig från liknande tekniker i hur det får kod att exekveras lokalt. Istället för att be offren att öppna dialogrutan Kör och klistra in ett kommando, missbrukar FileFix webbläsarens funktion för filuppladdning/kopiering så att offren klistrar in en sträng i Utforskarens adressfält. Den synliga texten ser ut som en oskyldig filsökväg, men urklippet innehåller faktiskt ett skadligt flerstegs PowerShell-kommando med efterföljande mellanslag, så endast den ofarliga sökvägen visas när det klistras in. När offret öppnar Utforskaren och klistrar in, exekveras det dolda kommandot lokalt.

Attackkedja

Användaren omdirigeras från ett nätfiskemejl till en kraftigt förvrängd flerspråkig falsk webbplats.

  • Om du klickar på webbplatsens knapp utlöses FileFix-flödet och urklippet fylls med ett dolt PowerShell-kommando.
  • PowerShell-skriptet laddar ner till synes godartade bilder från ett Bitbucket-arkiv.
  • Bilderna avkodas till nästa stegs nyttolast.
  • En Go-baserad laddare körs, packar upp skalkod och startar slutligen StealC-info-stealern.

Missbruk av betrodda webbhotellstjänster

Operatörerna lagrar kodade nyttolaster inuti bilder på ett Bitbucket-arkiv. Att använda en pålitlig källkodsplattform hjälper angriparna att dölja trafik i annars legitima förfrågningar och minskar risken för automatisk blockering baserat på destinationens rykte.

Obfuskations- och antianalystekniker

Nätfiskesidorna och skripten är inte enkla: operatörerna använde avancerad förvirring, fragmentering och skräpkod för att frustrera mänskliga analytiker och automatiserade skannrar. Infrastrukturen är flerspråkig och polerad, vilket ökar risken att lura icke-engelsktalande och får webbplatsen att se autentisk ut.

FileFix kontra ClickFix

FileFix missbrukar ett webbläsarflöde för filuppladdning/kopiering så att offren klistrar in filer i Utforskarens adressfält istället för att starta dialogrutan Kör.

ClickFix kräver att det klistras in i dialogrutan Kör (eller Terminal på macOS) och startas från Explorer.exe eller en terminalsession.

Praktisk effekt : FileFix kan kringgå försvar som blockerar användningen av dialogrutan Kör, eftersom den istället utnyttjar en flitigt använd webbläsarfunktion.

Detektionsnyans : eftersom FileFix involverar offrets webbläsare som utlöser exekveringskedjan, kan aktiviteten vara mer synlig för endpoint-övervakning eller incidentutredning än Run-dialog-spawns som används av ClickFix — men den omintetgör fortfarande många slutanvändarskydd genom bedrägeri.

Hotaktörers utvecklande tekniker

Denna kampanj visar en medveten och resursrik strategi: noggrant utformad phishing-infrastruktur, flerstegsdesign av nyttolast och användning av betrodd tredjepartshosting för att maximera både smygande och operativ räckvidd. Motståndarens hantverk indikerar att de planerade att undvika generisk upptäckt och uppnå tillförlitlig exekvering över olika mål.

Trendigt

Mest sedda

Läser in...