Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware FileFix Social-Engineering-Angriff

FileFix Social-Engineering-Angriff

Von Mezo in Malware, Phishing
Übersetzen Sie in:

Forscher haben eine aktuelle Phishing-Kampagne aufgedeckt, die eine Variante der Social-Engineering-Technik FileFix nutzt, um den Informationsdieb StealC zu verbreiten. Die Kampagne basiert auf einer aufpolierten, mehrsprachigen Fake-Site (zu den beobachteten Beispielen gehört eine gefälschte „Facebook Security“-Seite), massiven Verschleierungs- und Anti-Analyse-Tricks sowie einer ungewöhnlichen Payload-Lieferkette, die legitime Dienste missbraucht, um der Erkennung zu entgehen.

Wie Opfer angelockt werden

Der Angriff beginnt typischerweise mit einer E-Mail, in der den Empfängern mitgeteilt wird, dass ihr Facebook-Konto wegen angeblicher Richtlinienverstöße gesperrt werden könnte, und in der sie aufgefordert werden, Einspruch einzulegen. Klickt der Nutzer auf den Einspruchslink, wird er auf eine überzeugende Phishing-Seite weitergeleitet. Diese verspricht eine PDF-Datei mit dem angeblichen Richtlinienverstoß und fordert den Nutzer auf, den Pfad per Copy-and-Paste in den Datei-Explorer zu kopieren, um darauf zuzugreifen. Doch die freundliche Anweisung ist ein Trick.

Der FileFix-Trick

FileFix unterscheidet sich von ähnlichen Techniken darin, wie es Code lokal ausführt. Anstatt Opfer aufzufordern, den Ausführen-Dialog zu öffnen und einen Befehl einzufügen, missbraucht FileFix die Datei-Upload-/Kopierfunktion des Browsers, sodass Opfer eine Zeichenfolge in die Adressleiste des Datei-Explorers einfügen. Der sichtbare Text sieht aus wie ein harmloser Dateipfad, die Zwischenablage enthält jedoch tatsächlich einen bösartigen mehrstufigen PowerShell-Befehl mit nachgestellten Leerzeichen, sodass beim Einfügen nur der harmlose Pfad angezeigt wird. Öffnet das Opfer den Datei-Explorer und fügt den Befehl ein, wird dieser versteckte Befehl lokal ausgeführt.

Angriffskette

Der Benutzer wird von einer Phishing-E-Mail auf eine stark verschleierte mehrsprachige gefälschte Site umgeleitet.

  • Durch Klicken auf die Schaltfläche der Site wird der FileFix-Flow ausgelöst und die Zwischenablage mit einem versteckten PowerShell-Befehl gefüllt.
  • Das PowerShell-Skript lädt scheinbar harmlose Bilder aus einem Bitbucket-Repository herunter.
  • Die Bilder werden in die Nutzlast der nächsten Stufe dekodiert.
  • Ein Go-basierter Loader wird ausgeführt, entpackt Shellcode und startet schließlich den Info-Stealer StealC.

Missbrauch vertrauenswürdiger Hosting-Dienste

Die Betreiber hosten verschlüsselte Nutzdaten in Bildern in einem Bitbucket-Repository. Die Verwendung einer seriösen Quellcode-Hosting-Plattform hilft den Angreifern, den Datenverkehr in ansonsten legitimen Anfragen zu verbergen und verringert die Wahrscheinlichkeit einer automatischen Blockierung aufgrund der Reputation des Ziels.

Verschleierungs- und Anti-Analyse-Techniken

Die Phishing-Seiten und -Skripte sind nicht einfach: Die Betreiber nutzten komplexe Verschleierung, Fragmentierung und Junk-Code, um menschliche Analysten und automatisierte Scanner zu frustrieren. Die Infrastruktur ist mehrsprachig und ausgefeilt, was die Chance erhöht, Nicht-Englischsprachige zu täuschen und die Site authentisch erscheinen zu lassen.

FileFix vs. ClickFix

FileFix missbraucht den Datei-Upload-/Kopierablauf eines Browsers, sodass Opfer Dateien in die Adressleiste des Datei-Explorers einfügen, anstatt das Dialogfeld „Ausführen“ zu starten.

ClickFix muss in das Dialogfeld „Ausführen“ (oder Terminal unter macOS) eingefügt werden und wird von Explorer.exe oder einer Terminalsitzung gestartet.

Praktische Auswirkungen : FileFix kann Abwehrmaßnahmen umgehen, die die Verwendung des Dialogfelds „Ausführen“ blockieren, da es stattdessen eine weit verbreitete Browserfunktion nutzt.

Nuance bei der Erkennung : Da bei FileFix der Browser des Opfers die Ausführungskette auslöst, ist die Aktivität für die Endpunktüberwachung oder Vorfalluntersuchung möglicherweise besser sichtbar als die von ClickFix verwendeten Ausführen-Dialogfelder. Dennoch werden durch Täuschung viele Schutzmaßnahmen für Endbenutzer umgangen.

Die sich entwickelnden Techniken der Bedrohungsakteure

Diese Kampagne zeigt einen gezielten, gut ausgestatteten Ansatz: eine sorgfältig entwickelte Phishing-Infrastruktur, ein mehrstufiges Payload-Design und die Nutzung vertrauenswürdiger Drittanbieter-Hostings, um sowohl Tarnung als auch operative Reichweite zu maximieren. Die Vorgehensweise des Angreifers deutet darauf hin, dass er eine allgemeine Erkennung vermeiden und eine zuverlässige Ausführung bei verschiedenen Zielen erreichen wollte.

Im Trend

Am häufigsten gesehen

Wird geladen...