- Регистрация
- 10 Янв 2023
- Сообщения
- 8,739
- Реакции
- 2,077
Новая атака обходит большинство защит и выглядит абсолютно легально
FileFix отличается от описанного ранее приёма ClickFix тем, что не вынуждает жертву открывать окно «Выполнить» и вставлять команду для прохождения мнимой CAPTCHA. Вместо этого злоумышленники используют стандартную функцию загрузки файла в браузере и подсказывают скопировать «путь к документу» в адресную строку Проводника.
На деле по кнопке «Copy» в буфер попадает уже подготовленная команда с пробелами в конце — при вставке в Проводник виден лишь безопасный путь, тогда как хвостом остаётся скрытый вызов PowerShell. Дополнительная кнопка «Open File Explorer» сразу открывает нужное окно, чтобы цепочка выглядела естественно.
Запущенный жертвой скрипт сначала скачивает с Bitbucket изображение, внутри которого спрятан следующий уровень полезной нагрузки, декодирует его и запускает Go-загрузчик. Тот разворачивает шелл-код и передаёт управление StealC. Такой дизайн позволяет прятать полезную нагрузку в графике, разбивать логику на сегменты и минимизировать подозрительные артефакты на диске.
У описанного приёма есть тактическое преимущество перед ClickFix — он опирается на обычную для всех браузеров возможность работы с файлами, которую сложно запретить политиками без ущерба для процессов. При этом у защитников остаётся и контраргумент: выполнение системной команды от имени веб-процесса заметнее в телеметрии, чем запуск из explorer.exe через диалог «Выполнить», что повышает шанс фиксации инцидента EDR-системами.
Параллельно компания Doppel описала похожую активность, где применяются поддельные порталы поддержки, страницы «ошибок Cloudflare CAPTCHA» и перехват буфера обмена по схеме ClickFix. Жертву подводят к выполнению PowerShell, который тянет и запускает сценарий AutoHotkey. Этот скрипт собирает сведения о системе и приносит дополнительные инструменты удалённого доступа, такие как AnyDesk и TeamViewer, а также инфостилеры и клипперы. Зафиксированы и варианты с запуском mshta по адресу, замаскированному под домен Google — wl.google-587262[.]com — для получения и исполнения удалённого кода.
Acronis подчёркивает, что злоумышленники вложились в инфраструктуру и упаковку — от многоязычного контента и правдоподобных поводов до сегментированной доставки и сокрытия в изображениях. В результате цепочка выглядит максимально рутинно на каждом шаге, пока в фоне не запустится инфостилер.
Подписывайтесь на
У Вас недостаточно прав для просмотра ссылки. Войдите или зарегистрируйтесь.