Seorang peneliti cybersecurity telah mengembangkan Filefix, varian dari serangan rekayasa sosial ClickFix yang menipu pengguna untuk menjalankan perintah berbahaya melalui bilah alamat file Explorer di Windows.
Filefix, variasi dari serangan rekayasa sosial yang disebut ClickFix, memungkinkan para aktor ancaman untuk melaksanakan perintah pada sistem korban melalui bilah alamat file Explorer di Windows.
Peneliti Cybersecurity Mr.D0X Menemukan metode baru dan menunjukkan bahwa itu dapat digunakan dalam serangan menargetkan karyawan perusahaan menggunakan teknik rekayasa sosial yang sederhana.
Clickfix Serangan berbasis browser dan bergantung pada penipu pengguna untuk mengklik tombol di situs web yang menyalin perintah ke windows clipboard. Pengguna kemudian diinstruksikan untuk menempelkan perintah ke PowerShell atau prompt perintah lain untuk memperbaiki masalah.
Jenis serangan ini biasanya menyamar sebagai captcha atau kesalahan yang mencegah pengguna menggunakan situs tanpa “memperbaiki” masalah pertama.
Divergensi Filefix
Dalam serangan clickFix, ketika pengguna mengklik tombol situs web, perintah PowerShell berbahaya secara otomatis disalin ke windows clipboard diikuti oleh instruksi untuk menempelkannya ke prompt perintah melalui dialog Run (Win+R).
Mr.D0X menemukan cara untuk mencapai tujuan yang sama tetapi dengan meminta target menempelkan perintah di antarmuka pengguna Windows File Explorer yang lebih akrab.
Karena File Explorer dapat menjalankan perintah sistem operasi, peneliti menggabungkan fungsionalitas dengan fitur unggahan file browser dan menghasilkan skenario yang sangat masuk akal.
Serangan filefix juga bergantung pada halaman phishing, tetapi tipu muslihat tidak lagi disajikan sebagai kesalahan atau masalah. Sebaliknya, itu mungkin muncul sebagai pemberitahuan yang menunjukkan bahwa file telah dibagikan kepada pengguna dan termasuk permintaan untuk menempelkan jalur ke file explorer untuk menemukannya.
“Halaman phishing menyertakan tombol“ Open File Explorer ”yang, saat diklik, meluncurkan file explorer melalui fungsionalitas unggahan file dan menyalin perintah PowerShell ke clipboard” – Mr.D0X
Namun, untuk menjaga penipuan tetap utuh, penyerang dapat menyembunyikan perintah PowerShell jahat dengan menggabungkan jalur file dummy dalam komentar PowerShell.
Ini hanya menyebabkan jalur palsu pada awalnya terlihat di bilah alamat file Explorer, menyembunyikan perintah PowerShell jahat yang mendahuluinya.
Video yang menunjukkan variasi clickFix baru menunjukkan bahwa dengan menempatkan jalur file dummy sebagai komentar setelah perintah PowerShell, string berbahaya tidak lagi terlihat oleh pengguna, dan file explorer menjalankannya.
Karena serangan memerlukan tombol unggahan file, peneliti dengan hati -hati mempertimbangkan metode filefix sehingga menghindari pengguna secara tidak sengaja memilih file dari komputer.
Dalam kode bukti-konsep untuk halaman phishing, Mr.D0X menambahkan beberapa baris yang memblokir tindakan unggahan file “Dengan mencegat acara pemilihan file dan segera menghapus input.”
Jika ini terjadi, penyerang dapat menampilkan peringatan yang memberi tahu pengguna bahwa mereka gagal mengikuti instruksi dan mencoba lagi.
Kampanye ClickFix
Serangan clickfix telah terbukti menjadi metode yang sangat efisien untuk menggunakan malware pada sistem pengguna yang telah digunakan serangan ransomware dan bahkan Kelompok yang disponsori negara menggunakannya.
Korea Utara Grup peretas negara bagian ‘Kimsuky’ Termasuk elemen clickFix dalam salah satu kampanye mereka di mana mereka menggunakan file PDF untuk mengarahkan target ke tautan pendaftaran perangkat palsu yang menunjukkan instruksi untuk menjalankan PowerShell sebagai administrator dan kode tempel yang disediakan oleh penyerang.
Dalam kampanye clickfix yang diamati oleh Microsoft, penjahat cyber booking.com yang ditiru Untuk mengirimkan infostealer dan akses jarak jauh Trojan ke pekerja perhotelan.
Metode serangan juga telah terjadi Diadaptasi ke Linuxdi mana perintah shell secara otomatis disalin ke clipboard setelah mengunjungi situs web jahat. Korban potensial kemudian dipandu untuk membuka dialog Run dan menjalankan perintah.
Filefix, meskipun suatu variasi, menunjukkan bahwa serangan phishing seperti itu dapat ditingkatkan dengan beralih eksekusi perintah ke lingkungan yang lebih ramah dan lebih akrab bagi pengguna.
Mr.D0X mengatakan kepada BleepingComputer bahwa ia yakin serangan filefix-nya akan segera diadopsi oleh para aktor ancaman karena kesederhanaannya dan penggunaan utilitas Windows yang terkenal.
Di masa lalu, penjahat cyber dengan cepat mulai menggunakan peneliti Teknik phishing browser-in-the-browsermenunjukkan bahwa aktor buruk terus -menerus tertarik untuk belajar tentang metode serangan baru.
Mengapa timnya membuang manajemen tambalan manual
Patching digunakan untuk berarti skrip yang kompleks, berjam -jam, dan latihan api yang tak ada habisnya. Tidak lagi.
Dalam panduan baru ini, tines meruntuhkan bagaimana modern IT Orgs naik level dengan otomatisasi. Patch lebih cepat, mengurangi overhead, dan fokus pada pekerjaan strategis – tidak ada skrip kompleks yang diperlukan.
