Devam Eden FileFix Saldırısı, Sahte Facebook Sayfaları Aracılığıyla StealC Infostealer'ı Yüklüyor

Acronis'teki siber güvenlik araştırmacıları, halihazırda bilinen bir saldırı tekniğine yeni bir yaklaşım getiren bir kimlik avı kampanyası tespit etti. FileFix adı verilen yöntem, Facebook Güvenlik benzeri sayfaları ikna ederek StealC bilgi hırsızı kötü amaçlı yazılımını yüklemek için kullanılıyor.

Her şey, kurbanların Facebook hesaplarının politika ihlalleri nedeniyle askıya alınabileceğine dair bir uyarı almalarıyla başlıyor. İtiraz etmek için, resmi bir Meta destek sayfasını taklit eden bir kimlik avı sitesine yönlendiriliyorlar. Site, bir form veya CAPTCHA testi yerine, dosya yükleme penceresinin adres çubuğuna bir yol yapıştırmalarını istiyor. Bu tek adım, bilgisayarlarında bir kod çalıştırarak enfeksiyonu başlatıyor.

Komut çalıştırıldıktan sonra, saldırı aşamalar halinde gerçekleşir ve Bitbucket'ta barındırılan ve steganografi yoluyla yerleştirilmiş gizli betikler ve yürütülebilir dosyalar içeren görüntülerle başlar. Bu teknik, saldırganların kodu herkesin görebileceği bir yerde saklamasına olanak tanır ve dosyalar, kurbanın bilgisayarında çalıştırılana kadar zararsız görünür.

Acronis'in blog yazısına göre son zararlı yazılım, sohbet veya bulut uygulamalarından kimlik bilgilerini, tarayıcı verilerini, kripto para cüzdanlarını ve hesap belirteçlerini ele geçirmek için tasarlanmış bir kötü amaçlı yazılım türü olan StealC . Araştırmacılar, saldırganlara erişim sağladıktan sonra esneklik sağlayarak ek kötü amaçlı yazılımlar da getirebileceğini söylüyor.

FileFix veya benzeri ClickFix'in önceki örnekleriyle karşılaştırıldığında, bu kampanya daha yüksek bir çaba düzeyi gösteriyor. Kimlik avı sayfaları, analizi engellemek için çok dilli destek, gizleme ve gereksiz kod içeriyor.

Kampanyayla bağlantılı kimlik avı sitelerinin analizi, hedef kitlenin tek bir bölgeyle sınırlı olmadığını gösteriyor. Bu saldırılarla bağlantılı gönderiler ABD, Almanya, Bangladeş, Filipinler ve diğer birçok ülkede tespit edildi. Kimlik avı sayfalarında birden fazla dilin kullanılması, kampanyanın geniş bir kurban kitlesine yönelik tasarlandığı fikrini destekliyor.

Güvenlik uzmanları, bu gibi olayların, ihlallerin tamamen durdurulabileceğini varsaymak yerine, önceden planlama yapmanın önemini vurguladığını vurguluyor. ColorTokens Federal CTO'su Louis Eichenbaum , Sıfır Güven yaklaşımlarının, bir saldırganın bir ağa girmesi durumunda yapabileceklerini sınırlamaya yardımcı olduğunu belirtiyor. "Saldırganın ağınıza sızacağını varsayın," diyor. "Bu noktadan sonra soru, bundan sonra ne olacağı oluyor."

FileFix hala yeni bir teknik olabilir, ancak StealC bilgi hırsızı kampanyası yayılıyor ve araştırmacılar kampanyanın aktif ve gelişmekte olduğuna inanıyor. Bu nedenle, işletmeler ve günlük kullanıcılar, bilinmeyen kişilerden gelen e-postalara karşı dikkatli olmalı ve cihazlarında komut dosyası çalıştırmak için bağlantılara tıklamaktan veya talimatları izlemekten kaçınmalıdır.