Атака соціальної інженерії FileFix
Дослідники виявили нещодавню фішингову кампанію, яка використовує варіант методу соціальної інженерії FileFix для доставки крадіжки інформації StealC. Кампанія спирається на відшліфований, багатомовний фальшивий сайт (серед прикладів, що спостерігаються, є підроблена сторінка «Безпека Facebook»), потужні хитрощі обфускації та антианалізу, а також незвичайний ланцюжок доставки корисного навантаження, який зловживає легітимними сервісами, щоб уникнути виявлення.
Зміст
Як заманюють жертв
Атака зазвичай починається з електронного листа, в якому одержувачам повідомляється про ризик блокування їхнього облікового запису Facebook за ймовірні порушення політики та пропонується подати апеляцію. Натискання на посилання для апеляції перенаправляє користувача на переконливу фішингову сторінку. На цій сторінці обіцяють PDF-файл із ймовірним порушенням та доручають користувачеві скопіювати та вставити шлях у Провідник, щоб отримати до нього доступ, але дружня інструкція є хитрощами.
Хитрощі FileFix
FileFix відрізняється від подібних методів тим, як він забезпечує локальне виконання коду. Замість того, щоб просити жертв відкрити діалогове вікно «Виконати» та вставити команду, FileFix неправильно використовує функцію завантаження/копіювання файлів браузера, тому жертви вставляють рядок в адресний рядок Провідника. Видимий текст виглядає як нешкідливий шлях до файлу, але буфер обміну насправді містить шкідливу багатоетапну команду PowerShell з пробілами, тому після вставки відображається лише нешкідливий шлях. Коли жертва відкриває Провідник і вставляє команду, прихована команда виконується локально.
Ланцюг атак
Користувача перенаправляють з фішингового електронного листа на сильно завуальований багатомовний фальшивий сайт.
- Натискання кнопки сайту запускає процес FileFix, і буфер обміну заповнюється прихованою командою PowerShell.
- Скрипт PowerShell завантажує, здавалося б, нешкідливі образи з репозиторію Bitbucket.
- Зображення декодуються в корисне навантаження наступного етапу.
- Виконується завантажувач на основі Go, розпаковує шелл-код і, нарешті, запускає інформаційний викрадач StealC.
Зловживання послугами довіреного хостингу
Оператори розміщують закодовані корисні навантаження всередині зображень на репозиторії Bitbucket. Використання надійної платформи для розміщення вихідного коду допомагає зловмисникам приховувати трафік в інших легітимних запитах і зменшує ймовірність автоматичного блокування на основі репутації місця призначення.
Методи обфускації та антианалізу
Фішингові сторінки та скрипти не прості: оператори використовували просунуте обфускацію, фрагментацію та небажаний код, щоб засмутити аналітиків-людей та автоматизовані сканери. Інфраструктура є багатомовною та відшліфованою, що збільшує шанси обману користувачів, які не володіють англійською мовою, та робить сайт автентичним.
FileFix проти ClickFix
FileFix зловживає процесом завантаження/копіювання файлів у браузері, тому жертви вставляють їх в адресний рядок Провідника, а не запускають діалогове вікно «Виконати».
ClickFix вимагає вставки в діалогове вікно «Виконати» (або термінал у macOS) і запускається з Explorer.exe або термінального сеансу.
Практичний вплив : FileFix може обійти захист, який блокує використання діалогового вікна «Виконати», оскільки він використовує широко використовувану функцію браузера.
Нюанс виявлення : оскільки FileFix передбачає запуск ланцюжка виконання браузером жертви, активність може бути більш помітною для моніторингу кінцевих точок або розслідування інцидентів, ніж вікна запуску, що використовуються ClickFix, але він все одно руйнує багато захистів кінцевих користувачів шляхом обману.
Еволюція методів дійової особи, що створює загрозу
Ця кампанія демонструє продуманий, добре забезпечений ресурсами підхід: ретельно розроблена фішингова інфраструктура, багатоетапне проектування корисного навантаження та використання надійного стороннього хостингу для максимізації як прихованості, так і оперативного охоплення. Майстерність зловмисника вказує на те, що він планував уникнути загального виявлення та досягти надійного виконання для різних цілей.
