Networking

Serangan FileFix baru menggunakan penyelundupan cache untuk menghindari perangkat lunak keamanan

96
serangan-filefix-baru-menggunakan-penyelundupan-cache-untuk-menghindari-perangkat-lunak-keamanan
Serangan FileFix baru menggunakan penyelundupan cache untuk menghindari perangkat lunak keamanan

Varian baru dari serangan rekayasa sosial FileFix menggunakan penyelundupan cache untuk secara diam-diam mengunduh arsip ZIP berbahaya ke sistem korban dan melewati perangkat lunak keamanan.

Serangan phishing dan rekayasa sosial baru ini meniru identitas “Pemeriksa Kepatuhan VPN Fortinet” dan pertama kali ditemukan oleh peneliti keamanan siber P4nd3m1cb0yyang membagikan informasi tentang hal itu di X.

Dalam laporan baru oleh perusahaan keamanan siber Mengeluarkanpeneliti keamanan siber Marcus Hutchins berbagi rincian lebih lanjut tentang cara kerja serangan ini.

Bagi yang belum familiar dengan Serangan FileFixmereka adalah varian dari Serangan rekayasa sosial ClickFix dikembangkan oleh Mr.d0x. Alih-alih mengelabui pengguna agar menempelkan perintah jahat ke dalam dialog sistem operasi, ia menggunakan bilah alamat Windows File Explorer untuk menjalankan skrip PowerShell secara diam-diam.

Serangan FileFix berkembang dengan penyelundupan cache

Dalam serangan phishing baru, sebuah situs web menampilkan dialog yang menyamar sebagai “Pemeriksa Kepatuhan” VPN Fortinet, mengarahkan pengguna untuk menempelkan apa yang tampak seperti jalur jaringan yang sah ke program Fortinet di jaringan berbagi.

Kepatuhan Fortinet VPN Periksa umpan FileFix
Sumber: Keluarkan

Meskipun iming-iming tersebut menampilkan jalur ” \PublicSupportVPNForticlientCompliance.exe,” saat disalin ke clipboard, jalur tersebut sebenarnya jauh lebih panjang, karena dilengkapi dengan 139 spasi untuk menyembunyikan perintah PowerShell yang berbahaya.

Karena padding ini, ketika pengunjung mengikuti instruksi untuk membuka File Explorer dan menempelkan perintah ke bilah alamat, hanya jalur yang ditampilkan, seperti terlihat di bawah.

Bagaimana perintah yang disalin muncul di bilah alamat File Explorer
Sumber: Keluarkan

Namun, ketika seseorang menekan Enter pada keyboard, Windows menjalankan perintah PowerShell tersembunyi berikut melalui conhost.exe dalam mode tanpa kepala, sehingga tidak terlihat oleh pengguna.

Perintah PowerShell yang berbahaya
Sumber: Keluarkan

Perintah PowerShell pertama-tama membuat folder %LOCALAPPDATA%FortiClientcompliance, lalu menyalin file cache Chrome dari %LOCALAPPDATA%GoogleChromeUser DataDefaultCacheCache_Data ke dalam folder tersebut.

Skrip kemudian memindai setiap file cache menggunakan ekspresi reguler untuk menemukan konten antara “bTgQcBpv” dan “mX6o0lBw”. Konten ini sebenarnya adalah file zip yang disimpan dalam file gambar palsu, yang diekstraksi ke ComplianceChecker.zip dan dibuka zipnya.

Skrip kemudian meluncurkan FortiClientComplianceChecker.exe yang dapat dieksekusi dari arsip yang diekstraksi untuk mengeksekusi kode berbahaya.

Anda mungkin bertanya-tanya bagaimana file berbahaya itu disimpan di file cache Chrome, dan di sinilah serangan penyelundupan cache ikut berperan.

Saat pengunjung mengakses halaman phishing yang berisi iming-iming FileFix, situs web tersebut mengeksekusi JavaScript yang memerintahkan browser untuk mengambil file gambar.

Karena respons HTTP menyatakan bahwa gambar yang diambil bertipe “image/jpeg”, browser secara otomatis menyimpannya dalam cache di sistem file, memperlakukannya sebagai file gambar yang sah, meskipun sebenarnya tidak.

Karena ini dilakukan sebelum perintah PowerShell dijalankan melalui File Explorer, file tersebut sudah ada di cache, dan file zip dapat diekstraksi darinya.

“Teknik ini, dikenal sebagai penyelundupan cachememungkinkan malware melewati berbagai jenis produk keamanan,” jelas Hutchins.

“Baik halaman web maupun skrip PowerShell tidak secara eksplisit mengunduh file apa pun. Hanya dengan membiarkan browser menyimpan “gambar” palsu tersebut, malware dapat memasukkan seluruh file zip ke sistem lokal tanpa perlu perintah PowerShell untuk membuat permintaan web apa pun.”

“Akibatnya, alat apa pun yang memindai file yang diunduh atau mencari skrip PowerShell yang menjalankan permintaan web tidak akan mendeteksi perilaku ini.”

Pelaku ancaman dengan cepat mengadopsi teknik FileFix baru segera setelah teknik ini diungkapkan geng ransomware Dan aktor ancaman lainnya memanfaatkannya di kampanye mereka.

Generator ClickFix memperluas ekosistem

Selain varian FileFix penyelundupan cache baru, para peneliti di Palo Alto Unit 42 menemukan kit ClickFix baru yang disebut “IUAM ClickFix Generator,” yang mengotomatiskan pembuatan umpan gaya ClickFix.

Antarmuka ClickFix Generator memungkinkan penyerang merancang halaman verifikasi palsu, menyesuaikan judul dan teks halaman, memilih skema warna, dan mengonfigurasi muatan clipboard.

Antarmuka Generator Iuam Clickfix
Sumber: Unit 42

Kit ini juga mendukung deteksi OS, menyesuaikan perintah PowerShell untuk Windows atau perintah shell yang dikodekan Base64 untuk macOS, dan terkadang memberikan umpan yang tidak berbahaya ke sistem operasi lain.

Semua umpan tampaknya melibatkan beberapa jenis captcha Cloudflare palsu, dan para peneliti melihat beberapa situs web dibuat yang memanfaatkan umpan yang dihasilkan.

Situs web ini mengklaim berafiliasi dengan Cloudflare, Speedtest, Microsoft Teams, Claude, TradingView, Microsoft, dan Microsoft 365, antara lain.

Iming-iming Microsoft ClickFix
Sumber: BleepingComputer

Meskipun setiap umpan disesuaikan dengan kampanye penyerang, perilakunya tetap sama, menampilkan CAPTCHA Cloudflare palsu yang meminta pengguna menjalankan perintah tersembunyi di Command Prompt, dialog Run, atau Terminal.

Dalam kampanye yang diamati oleh Unit 42, serangan rekayasa sosial digunakan untuk menginfeksi perangkat dengan malware infostealer DeerStealer (Windows) dan Odyssey (Mac), serta muatan lain yang tidak diketahui untuk Windows.

Karena jenis serangan rekayasa sosial ini semakin populer di kalangan pelaku ancaman, penting untuk mengedukasi karyawan tentang pentingnya tidak pernah menyalin teks dari situs web dan menjalankannya di kotak dialog sistem operasi.

Acara Validasi Keamanan Tahun Ini: Picus BAS Summit

Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.

Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda

Exit mobile version