Продолжающаяся атака FileFix устанавливает Infostealer StealC через поддельные страницы Facebook
Специалисты по кибербезопасности компании Acronis обнаружили фишинговую кампанию, использующую новый подход к уже известной технике атак. Метод, получивший название FileFix , используется для установки вредоносного ПО StealC для кражи информации через страницы, которые выглядят как страницы безопасности Facebook.
Всё начинается с того, что жертвы получают предупреждение о том, что их аккаунт Facebook может быть заблокирован за нарушение правил. Для подачи апелляции их перенаправляют на фишинговый сайт, имитирующий официальную страницу поддержки Meta. Вместо заполнения формы или проверки CAPTCHA сайт просит их вставить путь в адресную строку окна загрузки файла. Этого одного шага достаточно, чтобы запустить код на их компьютере и начать заражение.
После выполнения команды атака разворачивается поэтапно, начиная с изображений, размещённых на Bitbucket, которые содержат скрытые скрипты и исполняемые файлы, внедрённые с помощью стеганографии . Эта техника позволяет злоумышленникам скрывать код на виду и делает файлы безвредными до тех пор, пока они не будут запущены на компьютере жертвы.
Последняя полезная нагрузка, согласно сообщению в блоге Acronis, — это StealC , вредоносная программа, предназначенная для кражи учётных данных, данных браузера, криптовалютных кошельков и токенов аккаунтов из чатов или облачных приложений. Исследователи утверждают, что она также может внедрять дополнительное вредоносное ПО, предоставляя злоумышленникам гибкость при получении доступа.
По сравнению с предыдущими примерами FileFix или родственного ему ClickFix , эта кампания демонстрирует более высокий уровень активности. Фишинговые страницы включают многоязычную поддержку, обфускацию и нежелательный код, затрудняющий анализ.
Анализ фишинговых сайтов, связанных с кампанией, показывает, что её целевая аудитория не ограничивается одним регионом. Материалы, связанные с этими атаками, были обнаружены в США, Германии, Бангладеш, на Филиппинах и в ряде других стран. Использование нескольких языков на фишинговых страницах подтверждает идею о том, что кампания рассчитана на широкий круг жертв.
Эксперты по безопасности подчёркивают, что подобные инциденты демонстрируют важность планирования на случай нарушений, а не предположения, что их все можно предотвратить. Луис Эйхенбаум , федеральный технический директор ColorTokens, отмечает, что подходы Zero Trust помогают ограничить возможности злоумышленника, проникшего в сеть. «Предположим, что злоумышленник взломает вашу сеть», — сказал он. «И тут возникает вопрос, что будет дальше».
FileFix, возможно, всё ещё является новым методом, но кампания по распространению инфокрада StealC, по мнению исследователей, активна и развивается. Поэтому компаниям и обычным пользователям следует быть осторожными с электронными письмами от неизвестных отправителей и не переходить по ссылкам и не следовать инструкциям по запуску скриптов на своих устройствах.
HackRead
