FileFix社会工程攻击
研究人员发现了近期的一次网络钓鱼活动,该活动利用 FileFix 社会工程技术的变种来传播 StealC 信息窃取程序。该活动依赖于精心设计的多语言虚假网站(例如,观察到的伪造“Facebook 安全”页面)、大量的混淆和反分析技巧,以及一条滥用合法服务以逃避检测的异常有效载荷传递链。
目录
受害者是如何被引诱的
攻击通常始于一封电子邮件,告知收件人他们的 Facebook 帐户因涉嫌违反政策而面临被暂停的风险,并敦促他们提出申诉。点击申诉链接后,用户会被重定向到一个令人信服的钓鱼页面。该页面承诺提供一份所谓的违规行为的 PDF 文件,并指示用户复制粘贴路径到文件资源管理器中即可访问,但这个看似友好的指示其实是骗局。
FileFix技巧
FileFix 与类似技术的不同之处在于其如何在本地执行代码。FileFix 不会要求受害者打开“运行”对话框并粘贴命令,而是滥用浏览器的文件上传/复制功能,让受害者将字符串粘贴到文件资源管理器的地址栏中。可见的文本看起来像一个无害的文件路径,但剪贴板实际上包含一个带有尾随空格的恶意多阶段 PowerShell 命令,因此粘贴时只会显示无害的路径。当受害者打开文件资源管理器并粘贴时,隐藏的命令会在本地执行。
攻击链
用户从钓鱼电子邮件重定向到严重混淆的多语言虚假网站。
- 单击站点的按钮会触发 FileFix 流程,并且剪贴板会填充隐藏的 PowerShell 命令。
- PowerShell 脚本从 Bitbucket 存储库下载看似无害的图像。
- 图像被解码为下一阶段的有效载荷。
- 执行基于 Go 的加载器,解压 shellcode,最后启动 StealC 信息窃取程序。
滥用可信托管服务
攻击者将编码的有效载荷托管在 Bitbucket 存储库中的图像中。使用信誉良好的源代码托管平台有助于攻击者将流量隐藏在原本合法的请求中,并降低基于目标信誉自动阻止的可能性。
混淆和反分析技术
这些钓鱼页面和脚本并不简单:攻击者使用了高级混淆技术、碎片化技术和垃圾代码,以欺骗人工分析人员和自动扫描器。其基础设施采用多语言且经过精心设计,这增加了欺骗非英语使用者的几率,并使网站看起来更真实。
FileFix 与 ClickFix
FileFix 滥用浏览器文件上传/复制流程,因此受害者会将文件粘贴到文件资源管理器的地址栏中,而不是启动运行对话框。
ClickFix 需要粘贴到运行对话框(或 macOS 上的终端)中,并且由 Explorer.exe 或终端会话生成。
实际影响:FileFix 可以绕过阻止使用运行对话框的防御措施,因为它利用了广泛使用的浏览器功能。
检测细微差别:由于 FileFix 涉及受害者的浏览器触发执行链,因此与 ClickFix 使用的运行对话框相比,该活动可能更容易被端点监控或事件调查发现 - 但它仍然通过欺骗手段击败了许多最终用户的保护。
威胁行为者的不断演变的技术
此次攻击活动展现了其精心策划、资源充足的策略:精心设计的网络钓鱼基础设施、多阶段负载设计,以及使用值得信赖的第三方托管,以最大限度地提升隐蔽性和攻击范围。攻击者的间谍手段表明,他们计划规避通用检测,并在不同目标上实现可靠的攻击执行。
