FileFix Sosyal Mühendislik Saldırısı
Araştırmacılar, StealC bilgi hırsızlığını gerçekleştirmek için FileFix sosyal mühendislik tekniğinin bir çeşidini kullanan yeni bir kimlik avı kampanyasını ortaya çıkardı. Kampanya, cilalı ve çok dilli bir sahte siteye (gözlemlenen örnekler arasında sahte bir "Facebook Güvenlik" sayfası da yer alıyor), yoğun karartma ve analiz önleme hilelerine ve tespit edilmekten kaçınmak için meşru hizmetleri kötüye kullanan alışılmadık bir yük dağıtım zincirine dayanıyor.
İçindekiler
Kurbanlar Nasıl Çekilir?
Saldırı genellikle alıcılara Facebook hesaplarının iddia edilen politika ihlalleri nedeniyle askıya alınma riski altında olduğunu bildiren ve itiraz etmeleri için onları teşvik eden bir e-postayla başlar. İtiraz bağlantısına tıklamak, kullanıcıyı ikna edici bir kimlik avı sayfasına yönlendirir. Bu sayfa, sözde ihlalin bir PDF'sini vaat eder ve kullanıcıya erişmek için Dosya Gezgini'ne bir yol kopyalayıp yapıştırmasını söyler, ancak bu dostça talimat bir hiledir.
FileFix Hilesi
FileFix, benzer tekniklerden, kodun yerel olarak çalıştırılma biçimi bakımından farklılık gösterir. Kurbanlardan Çalıştır iletişim kutusunu açıp bir komut yapıştırmalarını istemek yerine, FileFix tarayıcının dosya yükleme/kopyalama işlevini kötüye kullanarak kurbanların Dosya Gezgini adres çubuğuna bir dize yapıştırmasını sağlar. Görünen metin zararsız bir dosya yolu gibi görünse de, pano aslında sonunda boşluklar bulunan kötü amaçlı çok aşamalı bir PowerShell komutu içerir, bu nedenle yapıştırıldığında yalnızca zararsız yol görünür. Kurban Dosya Gezgini'ni açıp yapıştırdığında, gizli komut yerel olarak yürütülür.
Saldırı Zinciri
Kullanıcı, kimlik avı e-postasından, son derece gizlenmiş çok dilli sahte bir siteye yönlendiriliyor.
- Sitenin düğmesine tıklandığında FileFix akışı tetiklenir ve panoya gizli bir PowerShell komutu doldurulur.
- PowerShell betiği, Bitbucket deposundan görünüşte zararsız görüntüleri indirir.
- Görüntüler bir sonraki aşamadaki yüke dönüştürülür.
- Go tabanlı bir yükleyici çalıştırılır, kabuk kodu açılır ve son olarak StealC bilgi hırsızı başlatılır.
Güvenilir Barındırma Hizmetlerinin Kötüye Kullanımı
Operatörler, Bitbucket deposundaki görüntülerin içinde kodlanmış yükleri barındırır. Güvenilir bir kaynak kodu barındırma platformu kullanmak, saldırganların trafiği meşru isteklerde gizlemesine yardımcı olur ve hedef itibarına dayalı otomatik engelleme olasılığını azaltır.
Bulanıklaştırma ve Anti-analiz Teknikleri
Kimlik avı sayfaları ve betikleri basit değil: Operatörler, insan analistleri ve otomatik tarayıcıları engellemek için gelişmiş gizleme, parçalama ve gereksiz kodlar kullandı. Altyapı çok dilli ve gelişmiş olduğundan, İngilizce konuşmayanları kandırma ve sitenin gerçek görünmesini sağlama şansı artıyor.
FileFix ve ClickFix Karşılaştırması
FileFix, tarayıcının dosya yükleme/kopyalama akışını kötüye kullanarak kurbanların Çalıştır iletişim kutusunu açmak yerine Dosya Gezgini'nin adres çubuğuna yapıştırma yapmalarını sağlar.
ClickFix, Çalıştır iletişim kutusuna (veya macOS'ta Terminal'e) yapıştırılmayı gerektirir ve Explorer.exe veya bir terminal oturumundan oluşturulur.
Pratik etki : FileFix, Çalıştır iletişim kutusunun kullanımını engelleyen savunmaları aşabilir, çünkü bunun yerine yaygın olarak kullanılan bir tarayıcı özelliğini kullanır.
Algılama nüansı : FileFix, kurbanın tarayıcısının yürütme zincirini tetiklemesini içerdiğinden, etkinlik uç nokta izleme veya olay incelemesi için ClickFix tarafından kullanılan Çalıştır iletişim kutusu oluşturma işlemlerinden daha görünür olabilir; ancak yine de aldatma yoluyla birçok son kullanıcı korumasını geçersiz kılar.
Tehdit Aktörünün Gelişen Teknikleri
Bu kampanya, bilinçli ve iyi kaynaklandırılmış bir yaklaşımı sergiliyor: özenle tasarlanmış kimlik avı altyapısı, çok aşamalı yük tasarımı ve hem gizliliği hem de operasyonel erişimi en üst düzeye çıkarmak için güvenilir üçüncü taraf barındırma hizmetlerinin kullanımı. Saldırganın ticari becerisi, genel tespitten kaçınmayı ve çeşitli hedeflerde güvenilir bir uygulama gerçekleştirmeyi planladıklarını gösteriyor.
