Doorlopende FileFix-aanval installeert StealC Infostealer via nep-Facebookpagina's

Cybersecurityonderzoekers van Acronis hebben een phishingcampagne ontdekt die een reeds bekende aanvalstechniek vanuit een nieuwe invalshoek benadert. De methode, genaamd FileFix , wordt gebruikt om de StealC infostealer-malware te installeren via overtuigende Facebook Security-pagina's.

Het begint allemaal met slachtoffers die een waarschuwing krijgen dat hun Facebook-account mogelijk wordt geblokkeerd vanwege beleidsovertredingen. Om in beroep te gaan, worden ze doorverwezen naar een phishingsite die een officiële Meta-ondersteuningspagina nabootst. In plaats van een formulier of CAPTCHA-test , vraagt ​​de site hen om een ​​pad in de adresbalk van een bestandsuploadvenster te plakken. Die ene stap voert code uit op hun computer, waardoor de infectie wordt gestart.

Zodra de opdracht is uitgevoerd, verloopt de aanval in fasen, beginnend met afbeeldingen die op Bitbucket worden gehost en die verborgen scripts en uitvoerbare bestanden bevatten die via steganografie zijn ingesloten. Deze techniek stelt aanvallers in staat om code in het zicht te verbergen en de bestanden onschadelijk te laten lijken totdat ze op de computer van het slachtoffer worden uitgevoerd.

De laatste payload, volgens Acronis' blogpost , is StealC , een malwarevariant die is ontworpen om inloggegevens, browsergegevens, cryptocurrency-wallets en accounttokens te stelen uit chat- of cloudapplicaties. Onderzoekers zeggen dat het ook extra malware kan binnenhalen, wat aanvallers flexibiliteit geeft zodra ze toegang hebben.

Vergeleken met eerdere voorbeelden van FileFix of het verwante ClickFix , toont deze campagne een hogere mate van inspanning. De phishingpagina's bevatten meertalige ondersteuning, verduistering en ongewenste code om analyse te dwarsbomen.

Analyse van phishingsites die aan de campagne zijn gekoppeld, suggereert dat de targeting niet beperkt is tot één regio. Er zijn berichten gevonden in verband met deze aanvallen in de VS, Duitsland, Bangladesh, de Filipijnen en diverse andere landen. Het gebruik van meerdere talen op de phishingpagina's ondersteunt het idee dat de campagne is ontworpen voor een brede groep slachtoffers.

Beveiligingsexperts benadrukken dat incidenten zoals deze het belang benadrukken van het voorbereiden op inbreuken, in plaats van ervan uit te gaan dat ze allemaal voorkomen kunnen worden. Louis Eichenbaum , Federal CTO bij ColorTokens, merkt op dat Zero Trust-benaderingen helpen beperken wat een aanvaller kan doen als hij een netwerk binnendringt. "Ga ervan uit dat de aanvaller je netwerk zal binnendringen", zei hij. "Vanaf dat moment is de vraag wat er vervolgens gebeurt."

FileFix is ​​misschien nog een nieuwere techniek, maar de campagne verspreidt StealC infostealer en onderzoekers geloven dat de campagne actief is en zich verder ontwikkelt. Bedrijven en gewone gebruikers moeten daarom voorzichtig zijn met e-mails van onbekende afzenders en vermijden om op links te klikken of instructies te volgen om scripts op hun apparaten uit te voeren.