Serangan rekayasa sosial filefix yang baru ditemukan menyamar sebagai peringatan suspensi akun meta untuk menipu pengguna agar secara tidak sadar menginstal malware infostealer stealc.
Filefix adalah varian baru dari keluarga serangan ClickFix, yang menggunakan serangan rekayasa sosial untuk menipu pengguna agar menempelkan perintah berbahaya ke dalam kotak dialog sistem operasi sebagai “perbaikan” untuk masalah.
Itu Teknik filefix diciptakan oleh peneliti tim merah Mr.D0X, dan alih -alih meyakinkan pengguna untuk menempelkan perintah PowerShell berbahaya ke dialog atau terminal Windows Run, filefix menyalahgunakan bilah alamat di file explorer untuk menjalankan perintah.
Ini bukan pertama kalinya filefix digunakan dalam serangan, dengan Interlock Ransomware Gang sebelumnya menggunakan filefix Untuk menginstal Remote Access Trojan (tikus). Namun, serangan-serangan sebelumnya ini menggunakan Proof-of-Concept (POC) FileFix asli, daripada mengembangkannya dengan umpan baru.
Kampanye Filefiks Baru
Kampanye baru, Ditemukan oleh Acronismenggunakan halaman phishing multi-bahasa yang disebut sebagai tim pendukung Meta, memperingatkan penerima bahwa akun mereka akan dinonaktifkan dalam tujuh hari kecuali mereka melihat “laporan insiden” yang diduga dibagikan oleh Meta.
Namun, laporan ini sebenarnya bukan dokumen, tetapi perintah PowerShell yang disamarkan digunakan untuk menginstal malware pada perangkat target.
Halaman phishing memberi tahu pengguna untuk mengklik tombol “Salin” untuk menyalin apa yang tampak seperti jalur file, klik tombol Open File Explorer, dan kemudian tempel jalur ke bilah alamat File Explorer untuk membuka dokumen.
Namun, mengklik Menyalin Tombol sebenarnya menyalin perintah PowerShell dengan spasi yang ditambahkan ke windows clipboard, sehingga hanya jalur file yang ditampilkan saat ditempelkan ke File Explorer.
“Untuk menipu pengguna agar berpikir bahwa mereka menempelkan jalur ke file PDF ‘Laporan Insiden’, penyerang telah menempatkan variabel di akhir muatan, yang berisi banyak ruang dan jalur palsu di akhir,” jelas Acronis.
“Ini dilakukan agar hanya jalur file yang akan muncul di bilah alamat, dan tidak ada perintah jahat yang sebenarnya. Dalam serangan clickFix rata -rata, ini dilakukan dengan menggunakan simbol # alih -alih variabel, yang diambil oleh Powershell sebagai komentar pengembang.”
“Ini memiliki keuntungan yang tidak disengaja bahwa siapa pun yang telah membangun deteksi mereka untuk mencari simbol”#”dari ClickFix, kemungkinan akan melewatkan ini.”
Sumber: Acronis
Kampanye Filefix ini menonjol karena menggunakan steganografi untuk menyembunyikan skrip PowerShell tahap kedua dan executable yang dienkripsi di dalam apa yang tampak sebagai gambar JPG yang tidak berbahaya yang di-host di Bitbucket.
Perintah PowerShell tahap pertama, tanpa sadar dimasukkan oleh target, pertama-tama mengunduh gambar, mengekstrak skrip sekunder tertanam, yang kemudian digunakan untuk mendekripsi muatan dalam memori.
Sumber: BleepingComputer
Muatan akhir adalah malware infostealer stealc, yang berupaya mencuri data berikut dari perangkat yang terinfeksi:
- Kredensial dan cookie otentikasi dari browser web (Chrome, Firefox, Opera, Tencent, dll.)
- Kredensial dari Aplikasi Pesan (Perselisihan, Telegram, Tox, Pidgin)
- Dompet Cryptocurrency (Bitcoin, Ethereum, Keluaran, dll.)
- Kredensial cloud (AWS, Azure)
- Aplikasi VPN dan Gaming (ProtonVPN, Battle.net, Ubisoft)
- Kemampuan untuk mengambil tangkapan layar desktop aktif.
Acronis melaporkan bahwa beberapa varian kampanye ini diamati selama dua minggu, menggunakan muatan, domain, dan umpan yang berbeda.
“Sepanjang penyelidikan kami, kami telah menemukan beberapa iterasi serangan, kembali dua minggu,” kata Acronis.
“Melalui iterasi ini, kita dapat melacak evolusi teknik teknik sosial, dan aspek serangan yang lebih teknis.”
“Mungkin ini indikatif atau penyerang yang menguji infrastruktur yang mereka rencanakan untuk digunakan di masa depan, atau mungkin ini adalah iterasi yang ditambahkan ke kampanye serangan tengah, ketika penyerang belajar untuk beradaptasi dan meningkat.”
Sementara sebagian besar organisasi telah mendidik karyawan mereka tentang taktik phishing, clickFix dan taktik filefix tetap relatif baru dan terus berkembang.
Acronis merekomendasikan agar perusahaan mendidik pengguna mereka tentang taktik baru ini dan risiko menyalin data dari situs web ke dialog sistem yang tampaknya tidak berbahaya.
