FileFix社會工程攻擊

研究人員發現了近期的一次網路釣魚活動，該活動利用 FileFix 社會工程技術的變種來傳播 StealC 資訊竊取程式。該活動依賴精心設計的多語言虛假網站（例如，觀察到的偽造「Facebook 安全」頁面）、大量的混淆和反分析技巧，以及一條濫用合法服務以逃避檢測的異常有效載荷傳遞鏈。

受害者是如何被引誘的

攻擊通常始於一封電子郵件，告知收件人他們的 Facebook 帳戶因涉嫌違反政策而面臨被暫停的風險，並敦促他們提出申訴。點擊申訴連結後，使用者會被重新導向到一個令人信服的釣魚頁面。該頁面承諾提供一份所謂的違規行為的 PDF 文件，並指示用戶複製粘貼路徑到文件資源管理器中即可訪問，但這個看似友好的指示其實是騙局。

FileFix技巧

FileFix 與類似技術的不同之處在於如何在本機執行程式碼。 FileFix 不會要求受害者開啟「執行」對話方塊並貼上命令，而是濫用瀏覽器的檔案上傳/複製功能，讓受害者將字串貼到檔案總管的網址列中。可見的文字看起來像是無害的檔案路徑，但剪貼簿實際上包含一個帶有尾隨空格的惡意多階段 PowerShell 命令，因此貼上時只會顯示無害的路徑。當受害者開啟檔案總管並貼上時，隱藏的命令會在本機執行。

攻擊鏈

使用者從釣魚電子郵件重定向到嚴重混淆的多語言虛假網站。

• 點選網站的按鈕會觸發 FileFix 流程，並且剪貼簿會填入隱藏的 PowerShell 指令。
• PowerShell 腳本從 Bitbucket 儲存庫下載看似無害的映像。
• 影像被解碼為下一階段的有效載荷。
• 執行基於 Go 的載入器，解壓縮 shellcode，最後啟動 StealC 資訊竊取程式。

濫用可信任寄存服務

攻擊者將編碼的有效載荷託管在 Bitbucket 儲存庫中的影像中。使用信譽良好的原始碼託管平台有助於攻擊者將流量隱藏在原本合法的請求中，並降低基於目標信譽自動阻止的可能性。

混淆和反分析技術

這些釣魚頁面和腳本並不簡單：攻擊者使用了高級混淆技術、碎片化技術和垃圾代碼，以欺騙人工分析人員和自動掃描器。其基礎設施採用多語言且經過精心設計，這增加了欺騙非英語使用者的幾率，並使網站看起來更真實。

FileFix 與 ClickFix

FileFix 濫用瀏覽器檔案上傳/複製流程，因此受害者會將檔案貼到檔案總管的網址列中，而不是啟動執行對話方塊。

ClickFix 需要貼上到執行對話框（或 macOS 上的終端）中，並且由 Explorer.exe 或終端會話產生。

實際影響：FileFix 可以繞過阻止使用執行對話方塊的防禦措施，因為它利用了廣泛使用的瀏覽器功能。

偵測細微差別：由於 FileFix 涉及受害者的瀏覽器觸發執行鏈，因此與 ClickFix 使用的運行對話框相比，該活動可能更容易被端點監控或事件調查發現 - 但它仍然通過欺騙手段擊敗了許多最終用戶的保護。

威脅行為者的不斷演變的技術

這次攻擊活動展現了其精心策劃、資源充足的策略：精心設計的網路釣魚基礎設施、多階段負載設計，以及使用值得信賴的第三方託管，以最大限度地提升隱蔽性和攻擊範圍。攻擊者的間諜手段表明，他們計劃規避通用檢測，並在不同目標上實現可靠的攻擊執行。