Multi-License Discount Quote
Banta sa Database Malware FileFix Social Engineering Attack

FileFix Social Engineering Attack

Sa pamamagitan ng Mezo sa Malware, Phishing
Isalin To:

Natuklasan ng mga mananaliksik ang isang kamakailang kampanya sa phishing na gumagamit ng isang variant ng pamamaraan ng Social-engineering ng FileFix upang maihatid ang StealC information-stealer. Ang kampanya ay umaasa sa isang pinakintab, multilingguwal na pekeng site (mga halimbawang naobserbahan ay kinabibilangan ng isang pekeng pahina ng 'Facebook Security'), matinding obfuscation at anti-analysis na mga trick, at isang hindi pangkaraniwang payload delivery chain na umaabuso sa mga lehitimong serbisyo upang maiwasan ang pagtuklas.

Paano Naakit ang mga Biktima

Karaniwang nagsisimula ang pag-atake sa isang email na nagsasabi sa mga tatanggap na ang kanilang Facebook account ay nasa panganib na masuspinde para sa mga di-umano'y mga paglabag sa patakaran at hinihimok silang umapela. Ang pag-click sa link ng apela ay nagre-redirect sa user sa isang nakakumbinsi na pahina ng phishing. Nangangako ang page na iyon ng PDF ng dapat na paglabag at nagtuturo sa user na kopyahin-at-paste ang isang path sa File Explorer para ma-access ito, ngunit ang magiliw na pagtuturo ay isang pandaraya.

Ang FileFix Trick

Naiiba ang FileFix sa mga katulad na diskarte sa kung paano nito naipapatupad ang code nang lokal. Sa halip na hilingin sa mga biktima na buksan ang dialog ng Run at mag-paste ng command, maling ginagamit ng FileFix ang functionality ng pag-upload/kopya ng file ng browser upang ang mga biktima ay mag-paste ng string sa address bar ng File Explorer. Ang nakikitang text ay mukhang isang hindi nakapipinsalang landas ng file, ngunit ang clipboard ay talagang naglalaman ng isang nakakahamak na multi-stage na PowerShell na command na may mga trailing space kaya ang hindi nakakapinsalang path lang ang lalabas kapag na-paste. Kapag binuksan ng biktima ang File Explorer at nag-paste, lokal na ipapatupad ang nakatagong command.

Kadena ng Pag-atake

Ang user ay na-redirect mula sa isang phishing na email patungo sa isang napaka-obfuscated na multilingguwal na pekeng site.

  • Ang pag-click sa button ng site ay nagti-trigger sa daloy ng FileFix, at ang clipboard ay napupunan ng isang nakatagong PowerShell command.
  • Ang PowerShell script ay nagda-download ng mga mukhang hindi magandang larawan mula sa isang Bitbucket repository.
  • Ang mga imahe ay na-decode sa susunod na yugto ng payload.
  • Ang isang Go-based na loader ay isinasagawa, binubuksan ang shellcode, at sa wakas ay inilulunsad ang StealC info-stealer.

Pag-abuso sa Mga Serbisyong Pinagkakatiwalaang Pagho-host

Ang mga operator ay nagho-host ng mga naka-encode na payload sa loob ng mga larawan sa isang Bitbucket repository. Ang paggamit ng isang kagalang-galang na platform ng pagho-host ng source-code ay nakakatulong sa mga umaatake na itago ang trapiko sa mga lehitimong kahilingan at binabawasan ang pagkakataon ng awtomatikong pag-block batay sa reputasyon ng patutunguhan.

Obfuscation At Anti-analysis Techniques

Ang mga pahina at script ng phishing ay hindi simple: gumamit ang mga operator ng advanced na obfuscation, fragmentation at junk code upang biguin ang mga human analyst at automated scanner. Ang imprastraktura ay multilinggwal at pinakintab, na nagdaragdag ng pagkakataong manlinlang sa mga hindi nagsasalita ng Ingles at gawin ang site na mukhang tunay.

FileFix kumpara sa ClickFix

Inaabuso ng FileFix ang daloy ng pag-upload / pagkopya ng file sa browser kaya i-paste ng mga biktima ang address bar ng File Explorer sa halip na ilunsad ang dialog ng Run.

Ang ClickFix ay nangangailangan ng pag-paste sa Run dialog (o Terminal sa macOS) at na-spawn mula sa Explorer.exe o isang terminal session.

Praktikal na epekto : Maaaring i-bypass ng FileFix ang mga panlaban na humaharang sa paggamit ng dialog ng Run, dahil ginagamit nito ang isang malawak na ginagamit na feature ng browser sa halip.

Detection nuance : dahil kinasasangkutan ng FileFix ang browser ng biktima na nagti-trigger sa execution chain, maaaring mas nakikita ang aktibidad sa endpoint monitoring o pagsisiyasat sa insidente kaysa sa Run-dialog spawns na ginagamit ng ClickFix — ngunit tinatalo pa rin nito ang maraming proteksyon ng end-user sa pamamagitan ng panlilinlang.

Threat Actor's Evolving Techniques

Nagpapakita ang campaign na ito ng sinadya, mahusay na pinagkukunan na diskarte: maingat na ininhinyero ang imprastraktura ng phishing, multi-stage na disenyo ng payload, at paggamit ng pinagkakatiwalaang pagho-host ng third-party upang i-maximize ang parehong stealth at operational reach. Isinasaad ng tradecraft ng kalaban na nagplano silang iwasan ang generic na pagtuklas at upang makamit ang maaasahang pagpapatupad sa magkakaibang mga target.

Trending

Pinaka Nanood

Naglo-load...