Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Ataque de ingeniería social de FileFix

Ataque de ingeniería social de FileFix

Por Mezo en Software malicioso, Suplantación de identidad (phishing)
Traducir a:

Los investigadores han descubierto una reciente campaña de phishing que utiliza una variante de la técnica de ingeniería social FileFix para distribuir el ladrón de información StealC. La campaña se basa en un sitio web falso, bien diseñado y multilingüe (entre los ejemplos observados se incluye una página falsa de "Seguridad de Facebook"), una potente ofuscación y trucos antianálisis, y una inusual cadena de entrega de carga útil que abusa de servicios legítimos para evadir la detección.

Cómo se atrae a las víctimas

El ataque suele comenzar con un correo electrónico que informa a los destinatarios de que su cuenta de Facebook corre el riesgo de ser suspendida por presuntas infracciones de las políticas y les insta a apelar. Al hacer clic en el enlace de apelación, el usuario es redirigido a una página de phishing convincente. Esta página promete un PDF de la supuesta infracción y le pide al usuario que copie y pegue una ruta en el Explorador de archivos para acceder a ella, pero la instrucción amigable es una artimaña.

El truco de FileFix

FileFix se diferencia de técnicas similares en cómo ejecuta el código localmente. En lugar de pedir a las víctimas que abran el cuadro de diálogo Ejecutar y peguen un comando, FileFix hace un uso indebido de la función de carga y copia de archivos del navegador, de modo que las víctimas pegan una cadena en la barra de direcciones del Explorador de archivos. El texto visible parece una ruta de archivo inofensiva, pero el portapapeles contiene en realidad un comando malicioso de PowerShell de varias etapas con espacios finales, por lo que solo aparece la ruta inofensiva al pegarlo. Cuando la víctima abre el Explorador de archivos y pega el comando, el comando oculto se ejecuta localmente.

Cadena de ataque

El usuario es redirigido desde un correo electrónico de phishing a un sitio falso multilingüe muy ofuscado.

  • Al hacer clic en el botón del sitio, se activa el flujo FileFix y el portapapeles se llena con un comando de PowerShell oculto.
  • El script de PowerShell descarga imágenes aparentemente benignas de un repositorio de Bitbucket.
  • Las imágenes se decodifican en la carga útil de la siguiente etapa.
  • Se ejecuta un cargador basado en Go, descomprime el shellcode y finalmente lanza el ladrón de información StealC.

Abuso de servicios de alojamiento confiables

Los operadores alojan cargas útiles codificadas dentro de imágenes en un repositorio de Bitbucket. El uso de una plataforma de alojamiento de código fuente confiable ayuda a los atacantes a ocultar el tráfico en solicitudes legítimas y reduce la posibilidad de bloqueo automático basado en la reputación del destino.

Técnicas de ofuscación y antianálisis

Las páginas y scripts de phishing no son sencillos: los operadores utilizaron ofuscación avanzada, fragmentación y código basura para frustrar a los analistas humanos y a los escáneres automatizados. La infraestructura es multilingüe y está perfeccionada, lo que aumenta las posibilidades de engañar a quienes no hablan inglés y hace que el sitio parezca auténtico.

FileFix frente a ClickFix

FileFix abusa del flujo de carga y copia de archivos del navegador, por lo que las víctimas pegan en la barra de direcciones del Explorador de archivos en lugar de iniciar el cuadro de diálogo Ejecutar.

ClickFix requiere pegarse en el cuadro de diálogo Ejecutar (o Terminal en macOS) y se genera desde Explorer.exe o una sesión de terminal.

Impacto práctico : FileFix puede eludir las defensas que bloquean el uso del cuadro de diálogo Ejecutar, porque aprovecha una función del navegador ampliamente utilizada.

Matiz de detección : debido a que FileFix implica que el navegador de la víctima active la cadena de ejecución, la actividad puede ser más visible para el monitoreo de puntos finales o la investigación de incidentes que los cuadros de diálogo Ejecutar que genera ClickFix, pero aún así anula muchas protecciones del usuario final a través del engaño.

Técnicas en evolución de los actores de amenazas

Esta campaña demuestra un enfoque deliberado y con recursos suficientes: una infraestructura de phishing cuidadosamente diseñada, un diseño de carga útil multietapa y el uso de alojamiento web de terceros de confianza para maximizar el sigilo y el alcance operativo. La estrategia del adversario indica que planeaba evitar la detección genérica y lograr una ejecución fiable en diversos objetivos.

Tendencias

Mas Visto

Cargando...