В последние годы киберпреступники все чаще обращаются к инновационным методам обхода защиты и социальной инженерии для внедрения вредоносных программ в системы пользователей. Одной из таких новинок стала атака под названием FileFix, использование которой было недавно усовершенствовано и выходит на новый уровень угрозы благодаря применению техники стеганографии для заражения устройств заражающим инфостилером StealC. Эта комбинированная методика привлекла пристальное внимание специалистов по безопасности, поскольку представляет собой серьезный вызов современным средствам защиты и грамотности пользователей. По сути, FileFix является продолжением семейства атак ClickFix, которые базируются на принципе социальной инженерии: злоумышленники убеждают жертву выполнить определённые действия, которые самостоятельно запускают вредоносный код в операционной системе. В ранних версиях ClickFix злоумышленники чаще всего предлагали скопировать и вставить в терминал или окно "Выполнить" PowerShell-команды, выдавая это за решение различных проблем.
Новый вариант FileFix кардинально изменил этот подход, используя адресную строку проводника Windows, что значительно повышает успешность атаки за счёт естественной привычки пользователя копировать пути или команды. Атака FileFix стала известна благодаря исследованию специалистов из компании Acronis, которые выявили серию многоязычных фишинговых страниц, выдающих себя за сообщения службы поддержки Meta - известной социальной сети. Цель мошенников - заставить пользователей поверить в угрозу блокировки их аккаунта и убедить перейти к "инцидентному отчету", который на самом деле является замаскированной командой для установки вредоносного ПО. Такой социальный прием рассчитан на страх утерять доступ к социальной сети и стремление быстро решить возникшую проблему. Непосредственно процесс атаки организован следующим образом: жертве предлагают нажать на кнопку "Копировать", которая якобы копирует путь к файлу-отчету.
Далее предлагают открыть проводник Windows и вставить скопированный путь в адресную строку. В действительности же вместе с видимым путем в буфер обмена попадает скрытая команда PowerShell с множеством пробелов и ложным адресом, обеспечивающим маскировку настоящих действий от пользователя. Это хитрое замаскирование позволяет злоумышленникам скрывать вредоносный код и обходить в том числе системы обнаружения, ориентированные на стандартные методы ClickFix, например использование символа решетки (#) для комментирования в PowerShell. Самым примечательным аспектом новой кампании FileFix стало использование стеганографии - техники, при которой скрытая информация прячется в безобидных на первый взгляд файлах. В данном случае в изображении формата JPG, размещенном на платформе Bitbucket, содержится вторичная PowerShell-скрипт и зашифрованные исполняемые файлы.
Первоначальная команда, введенная пользователем, скачивает этот JPG-файл, извлекает из него скрытый скрипт, а затем с его помощью расшифровывает и загружает в память основной вредоносный код. Благодаря такой схеме атака становится трудной для обнаружения как вручную, так и автоматизированными средствами защиты. Итоговым payload'ом в данной кампании выступает инфостилер StealC - вредоносная программа, которая специализируется на краже конфиденциальных данных с зараженных устройств. Среди похищаемой информации - пароли и аутентификационные токены из популярных браузеров, таких как Chrome, Firefox, Opera и Tencent, а также из мессенджеров Discord, Telegram, Tox и Pidgin. Кроме того, StealC нацелен на криптовалютные кошельки (Bitcoin, Ethereum, Exodus и прочие), облачные сервисы AWS и Azure, VPN-приложения, включая ProtonVPN, и игровые платформы, такие как Battle.
net и Ubisoft. Дополнительно вредонос способен делать скриншоты активного рабочего стола, собирая информацию об активности пользователя. В ходе расследования специалисты из Acronis обнаружили несколько вариантов данного FileFix-атака в течение около двух недель. Каждый новый вариант отличался деталями: использовались разные домены, варианты вредоносных payload'ов и социально-инженерные приемы. Это говорит о том, что злоумышленники не просто проводят единичную атаку, а адаптируют и совершенствуют свои методы в реальном времени, тестируя инфраструктуру и методы доставки для максимальной эффективности и уклонения от защиты.
Особая опасность FileFix и ClickFix заключается в том, что эти типы атак задействуют пользователи сами, по сути, активируя вредоносный код собственноручно, поддавшись искусно разработанным социальным ловушкам. В то время как большинство современных программ и систем защиты хорошо справляются с традиционными вирусами и троянами, новые векторы атак, основанные на взаимодействии с интерфейсом операционной системы, требуют повышения осведомленности пользователей. Компании и организации в рамках защиты от подобных угроз должны уделять особое внимание обучению сотрудников. Следует подробно разъяснять, что любое копирование и вставка команд из непроверенных и необычных источников, особенно если это связано с системными диалогами, несут в себе риск активации вредоносного ПО. Более того, стоит регулярно информировать пользователей о новых схемах социальной инженерии и инновационных приемах атак, чтобы снизить вероятность успешного заражения.
Дополнительно рекомендуется использовать комплексные средства защиты, которые способны обнаруживать аномальную активность, анализировать поведение программ, а также искать признаки стеганографии и необычного взаимодействия с системными интерфейсами. Повышение уровня кибергигиены и комплексный мониторинг трафика и действий пользователя позволит минимизировать последствия подобных атак. Появление новой атаки FileFix с использованием стеганографии демонстрирует, что киберугрозы постоянно эволюционируют, и злоумышленники не жалеют ресурсов для того, чтобы сделать свои инструменты эффективнее и незаметнее. Отмечая такой тренд, следует быть готовыми адаптировать методы защиты и совершенствовать образовательные программы для пользователей. Современная кибербезопасность - это не только технические решения, но и грамотность человека, который стоит за компьютером.
В итоге FileFix - это яркий пример того, как социальная инженерия и технические уловки могут сочетаться для доставки мощного инфостилера StealC. Эффективная защита от подобных угроз возможна лишь при системном подходе, объединяющем технические меры и постоянное повышение осведомленности пользователей. Бдительность, осторожность и правильное понимание новых тактик атак - ключевые факторы, позволяющие обеспечить сохранность личных данных и устойчивость инфраструктуры в условиях динамично меняющегося ландшафта кибербезопасности. .
