การโจมตีทางวิศวกรรมสังคมของ FileFix

นักวิจัยได้ค้นพบแคมเปญฟิชชิ่งล่าสุดที่ใช้เทคนิควิศวกรรมสังคมแบบ FileFix เพื่อส่งเครื่องมือขโมยข้อมูล StealC แคมเปญนี้อาศัยเว็บไซต์ปลอมที่ออกแบบมาอย่างประณีตและรองรับหลายภาษา (ตัวอย่างที่พบ ได้แก่ เพจปลอม 'Facebook Security') กลวิธีบิดเบือนและป้องกันการวิเคราะห์ข้อมูลจำนวนมาก รวมถึงระบบการส่งเพย์โหลดที่ผิดปกติซึ่งใช้ประโยชน์จากบริการที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงการตรวจจับ

เหยื่อถูกหลอกได้อย่างไร

การโจมตีมักจะเริ่มต้นด้วยอีเมลแจ้งผู้รับว่าบัญชีเฟซบุ๊กของตนมีความเสี่ยงที่จะถูกระงับเนื่องจากการละเมิดนโยบายที่ถูกกล่าวหา และกระตุ้นให้พวกเขายื่นอุทธรณ์ การคลิกลิงก์อุทธรณ์จะนำผู้ใช้ไปยังหน้าฟิชชิงที่น่าเชื่อถือ หน้าดังกล่าวสัญญาว่าจะส่งไฟล์ PDF ของการละเมิดที่ถูกกล่าวหา และแนะนำให้ผู้ใช้คัดลอกและวางเส้นทางไปยัง File Explorer เพื่อเข้าถึง แต่คำแนะนำที่เป็นมิตรนั้นเป็นเพียงกลอุบาย

เคล็ดลับ FileFix

FileFix แตกต่างจากเทคนิคที่คล้ายคลึงกันในวิธีการรันโค้ดในเครื่อง แทนที่จะขอให้เหยื่อเปิดกล่องโต้ตอบ Run และวางคำสั่ง FileFix กลับใช้ฟังก์ชันอัปโหลด/คัดลอกไฟล์ของเบราว์เซอร์ในทางที่ผิด ทำให้เหยื่อวางสตริงลงในแถบที่อยู่ของ File Explorer ข้อความที่มองเห็นได้ดูเหมือนเส้นทางของไฟล์ที่ไม่เป็นอันตราย แต่จริงๆ แล้วคลิปบอร์ดมีคำสั่ง PowerShell หลายขั้นตอนที่เป็นอันตรายพร้อมช่องว่างต่อท้าย ทำให้มีเพียงเส้นทางที่ไม่เป็นอันตรายเท่านั้นที่ปรากฏเมื่อวาง เมื่อเหยื่อเปิด File Explorer และวางคำสั่งที่ซ่อนอยู่ คำสั่งที่ซ่อนไว้จะถูกรันในเครื่อง

ห่วงโซ่การโจมตี

ผู้ใช้ถูกเปลี่ยนเส้นทางจากอีเมลฟิชชิ่งไปยังไซต์ปลอมที่มีหลายภาษาซึ่งมีความซับซ้อนมาก

• การคลิกปุ่มไซต์จะกระตุ้นการไหลของ FileFix และคลิปบอร์ดจะถูกเติมด้วยคำสั่ง PowerShell ที่ซ่อนอยู่
• สคริปต์ PowerShell ดาวน์โหลดรูปภาพที่ดูเหมือนไม่เป็นอันตรายจากที่เก็บ Bitbucket
• ภาพจะถูกถอดรหัสเป็นโหลดขั้นถัดไป
• ตัวโหลดที่ใช้ Go จะถูกดำเนินการ แกะ shellcode และในที่สุดก็เปิดตัว info-stealer ของ StealC

การละเมิดบริการโฮสติ้งที่เชื่อถือได้

ผู้ปฏิบัติการโฮสต์เพย์โหลดที่เข้ารหัสไว้ภายในอิมเมจบนที่เก็บ Bitbucket การใช้แพลตฟอร์มโฮสต์ซอร์สโค้ดที่มีชื่อเสียงช่วยให้ผู้โจมตีซ่อนทราฟฟิกในคำขอที่ถูกต้องตามกฎหมาย และลดโอกาสการบล็อกอัตโนมัติตามชื่อเสียงของปลายทาง

เทคนิคการบดบังและต่อต้านการวิเคราะห์

หน้าเว็บและสคริปต์ฟิชชิ่งนั้นไม่ง่ายนัก ผู้ดำเนินการใช้การบดบังขั้นสูง การแยกส่วน และโค้ดขยะเพื่อสร้างความรำคาญให้กับนักวิเคราะห์และสแกนเนอร์อัตโนมัติ โครงสร้างพื้นฐานรองรับหลายภาษาและได้รับการขัดเกลา ซึ่งเพิ่มโอกาสในการหลอกผู้ที่ไม่ได้ใช้ภาษาอังกฤษและทำให้เว็บไซต์ดูน่าเชื่อถือ

FileFix เทียบกับ ClickFix

FileFix ใช้วิธีการอัปโหลด/คัดลอกไฟล์ของเบราว์เซอร์โดยวางไฟล์ลงในแถบที่อยู่ของ File Explorer แทนที่จะเปิดกล่องโต้ตอบเรียกใช้

ClickFix ต้องวางลงในกล่องโต้ตอบเรียกใช้ (หรือเทอร์มินัลบน macOS) และสร้างขึ้นจาก Explorer.exe หรือเซสชันเทอร์มินัล

ผลกระทบในทางปฏิบัติ : FileFix สามารถหลีกเลี่ยงการป้องกันที่บล็อกการใช้งานกล่องโต้ตอบ Run ได้ เนื่องจากใช้ประโยชน์จากคุณลักษณะเบราว์เซอร์ที่ใช้กันอย่างแพร่หลายแทน

ความแตกต่างของการตรวจจับ : เนื่องจาก FileFix เกี่ยวข้องกับเบราว์เซอร์ของเหยื่อที่กระตุ้นโซ่การดำเนินการ กิจกรรมดังกล่าวอาจมองเห็นได้ชัดเจนกว่าในการตรวจสอบปลายทางหรือการสอบสวนเหตุการณ์มากกว่าการสร้าง Run-dialog ที่ ClickFix ใช้ แต่ยังคงทำลายการป้องกันผู้ใช้ปลายทางหลายๆ อย่างผ่านการหลอกลวง

เทคนิคที่พัฒนาของผู้ก่อภัยคุกคาม

แคมเปญนี้แสดงให้เห็นถึงแนวทางที่รอบคอบและจัดสรรทรัพยากรอย่างเพียงพอ ได้แก่ โครงสร้างพื้นฐานฟิชชิ่งที่ออกแบบมาอย่างพิถีพิถัน การออกแบบเพย์โหลดแบบหลายขั้นตอน และการใช้โฮสติ้งจากบุคคลที่สามที่เชื่อถือได้ เพื่อเพิ่มการเข้าถึงทั้งแบบซ่อนตัวและแบบปฏิบัติการให้สูงสุด กลวิธีของฝ่ายตรงข้ามบ่งชี้ว่าพวกเขาวางแผนที่จะหลีกเลี่ยงการตรวจจับแบบทั่วไป และเพื่อให้บรรลุการดำเนินการที่เชื่อถือได้ในเป้าหมายที่หลากหลาย