Tấn công kỹ thuật xã hội FileFix
Các nhà nghiên cứu đã phát hiện ra một chiến dịch lừa đảo gần đây sử dụng một biến thể của kỹ thuật tấn công mạng xã hội FileFix để phát tán mã độc đánh cắp thông tin StealC. Chiến dịch này dựa trên một trang web giả mạo đa ngôn ngữ được trau chuốt kỹ lưỡng (ví dụ quan sát được bao gồm trang "Bảo mật Facebook" giả mạo), các thủ thuật che giấu và chống phân tích mạnh mẽ, cùng một chuỗi phân phối dữ liệu bất thường lợi dụng các dịch vụ hợp pháp để tránh bị phát hiện.
Mục lục
Nạn nhân bị dụ dỗ như thế nào
Cuộc tấn công thường bắt đầu bằng một email thông báo người nhận rằng tài khoản Facebook của họ có nguy cơ bị đình chỉ do bị cáo buộc vi phạm chính sách và thúc giục họ kháng cáo. Nhấp vào liên kết kháng cáo sẽ chuyển hướng người dùng đến một trang lừa đảo rất thuyết phục. Trang web đó hứa hẹn một tệp PDF về vi phạm giả định và hướng dẫn người dùng sao chép và dán đường dẫn vào File Explorer để truy cập, nhưng lời hướng dẫn thân thiện đó thực chất là một trò lừa đảo.
Thủ thuật FileFix
FileFix khác với các kỹ thuật tương tự ở cách nó thực thi mã cục bộ. Thay vì yêu cầu nạn nhân mở hộp thoại Run và dán lệnh, FileFix lạm dụng chức năng tải lên/sao chép tệp của trình duyệt để nạn nhân dán một chuỗi ký tự vào thanh địa chỉ của File Explorer. Văn bản hiển thị trông giống như một đường dẫn tệp vô hại, nhưng thực chất clipboard chứa một lệnh PowerShell nhiều giai đoạn độc hại với các khoảng trắng ở cuối, do đó chỉ đường dẫn vô hại mới xuất hiện khi dán. Khi nạn nhân mở File Explorer và dán, lệnh ẩn sẽ được thực thi cục bộ.
Chuỗi tấn công
Người dùng được chuyển hướng từ email lừa đảo đến một trang web giả mạo đa ngôn ngữ được che giấu kỹ lưỡng.
- Nhấp vào nút của trang web sẽ kích hoạt luồng FileFix và bảng tạm sẽ được điền lệnh PowerShell ẩn.
- Tập lệnh PowerShell tải xuống những hình ảnh có vẻ vô hại từ kho lưu trữ Bitbucket.
- Các hình ảnh được giải mã thành tải trọng ở giai đoạn tiếp theo.
- Trình tải dựa trên Go được thực thi, giải nén shellcode và cuối cùng khởi chạy trình đánh cắp thông tin StealC.
Lạm dụng dịch vụ lưu trữ đáng tin cậy
Các nhà điều hành lưu trữ các tải trọng được mã hóa bên trong hình ảnh trên kho lưu trữ Bitbucket. Việc sử dụng một nền tảng lưu trữ mã nguồn uy tín giúp kẻ tấn công ẩn lưu lượng truy cập trong các yêu cầu hợp pháp và giảm nguy cơ bị chặn tự động dựa trên uy tín của đích đến.
Kỹ thuật che giấu và chống phân tích
Các trang web và tập lệnh lừa đảo không hề đơn giản: kẻ tấn công đã sử dụng các kỹ thuật che giấu, phân mảnh và mã độc tiên tiến để làm khó các nhà phân tích và máy quét tự động. Cơ sở hạ tầng đa ngôn ngữ và được trau chuốt kỹ lưỡng, làm tăng khả năng lừa đảo người dùng không nói tiếng Anh và khiến trang web trông có vẻ chân thực.
FileFix so với ClickFix
FileFix lạm dụng luồng tải lên/sao chép tệp của trình duyệt để nạn nhân dán vào thanh địa chỉ của File Explorer thay vì khởi chạy hộp thoại Run.
ClickFix yêu cầu dán vào hộp thoại Run (hoặc Terminal trên macOS) và được tạo ra từ Explorer.exe hoặc phiên bản terminal.
Tác động thực tế : FileFix có thể vượt qua các biện pháp phòng thủ chặn sử dụng hộp thoại Run vì nó tận dụng một tính năng được sử dụng rộng rãi trên trình duyệt.
Sắc thái phát hiện : vì FileFix liên quan đến trình duyệt của nạn nhân kích hoạt chuỗi thực thi, nên hoạt động này có thể dễ dàng được giám sát điểm cuối hoặc điều tra sự cố phát hiện hơn so với hộp thoại Run được ClickFix sử dụng — nhưng nó vẫn vượt qua nhiều biện pháp bảo vệ người dùng cuối thông qua sự lừa dối.
Các kỹ thuật tiến hóa của tác nhân đe dọa
Chiến dịch này cho thấy một cách tiếp cận có chủ đích và được trang bị đầy đủ nguồn lực: cơ sở hạ tầng chống lừa đảo được thiết kế cẩn thận, thiết kế tải trọng nhiều giai đoạn và sử dụng dịch vụ lưu trữ của bên thứ ba đáng tin cậy để tối đa hóa cả khả năng ẩn náu và phạm vi hoạt động. Thủ đoạn của kẻ tấn công cho thấy chúng đã lên kế hoạch tránh bị phát hiện chung chung và đạt được khả năng thực thi đáng tin cậy trên nhiều mục tiêu khác nhau.
