Attaque d'ingénierie sociale FileFix

Par Mezo en Logiciels malveillants, Hameçonnage

Se traduisent par :

Des chercheurs ont découvert une récente campagne de phishing utilisant une variante de la technique d'ingénierie sociale FileFix pour diffuser le voleur d'informations StealC. Cette campagne s'appuie sur un faux site web multilingue soigné (parmi les exemples observés, on peut citer une page Facebook Security contrefaite), de puissantes techniques d'obfuscation et d'anti-analyse, ainsi que sur une chaîne de distribution de charge utile inhabituelle qui abuse de services légitimes pour échapper à la détection.

Table des matières

Comment les victimes sont attirées

L'attaque commence généralement par un e-mail informant les destinataires que leur compte Facebook risque d'être suspendu pour violation présumée des règles et les incitant à faire appel. Cliquer sur le lien de recours redirige l'utilisateur vers une page d'hameçonnage convaincante. Cette page promet un PDF de la violation présumée et invite l'utilisateur à copier-coller un chemin d'accès dans l'Explorateur de fichiers pour y accéder, mais cette instruction anodine est une ruse.

L’astuce FileFix

FileFix diffère des techniques similaires par son mode d'exécution locale du code. Au lieu de demander aux victimes d'ouvrir la boîte de dialogue Exécuter et de coller une commande, FileFix détourne la fonctionnalité de téléchargement/copie de fichiers du navigateur, les obligeant à coller une chaîne dans la barre d'adresse de l'Explorateur de fichiers. Le texte visible ressemble à un chemin d'accès inoffensif, mais le presse-papiers contient en réalité une commande PowerShell malveillante à plusieurs étapes, avec des espaces à la fin. Seul le chemin inoffensif apparaît alors lors du collage. Lorsque la victime ouvre l'Explorateur de fichiers et effectue le collage, la commande masquée s'exécute localement.

Chaîne d’attaque

L'utilisateur est redirigé d'un e-mail de phishing vers un faux site multilingue fortement obscurci.

Cliquer sur le bouton du site déclenche le flux FileFix et le presse-papiers est rempli avec une commande PowerShell masquée.
Le script PowerShell télécharge des images apparemment bénignes à partir d’un référentiel Bitbucket.
Les images sont décodées dans la charge utile de l’étape suivante.
Un chargeur basé sur Go est exécuté, décompresse le shellcode et lance enfin le voleur d'informations StealC.

Abus de services d’hébergement de confiance

Les opérateurs hébergent des charges utiles codées dans des images sur un dépôt Bitbucket. L'utilisation d'une plateforme d'hébergement de code source fiable permet aux attaquants de dissimuler le trafic dans des requêtes légitimes et de réduire le risque de blocage automatique basé sur la réputation de la destination.

Techniques d’obfuscation et d’anti-analyse

Les pages et scripts de phishing ne sont pas simples : les opérateurs ont utilisé des techniques avancées d'obfuscation, de fragmentation et de code indésirable pour déjouer les analystes humains et les scanners automatisés. L'infrastructure multilingue et soignée augmente les chances de piéger les non-anglophones et de donner une apparence authentique au site.

FileFix contre ClickFix

FileFix abuse du flux de téléchargement/copie de fichiers du navigateur afin que les victimes collent dans la barre d'adresse de l'Explorateur de fichiers plutôt que de lancer la boîte de dialogue Exécuter.

ClickFix nécessite d'être collé dans la boîte de dialogue Exécuter (ou dans le terminal sur macOS) et est généré à partir d'Explorer.exe ou d'une session de terminal.

Impact pratique : FileFix peut contourner les défenses qui bloquent l'utilisation de la boîte de dialogue Exécuter, car il exploite à la place une fonctionnalité de navigateur largement utilisée.

Nuance de détection : étant donné que FileFix implique que le navigateur de la victime déclenche la chaîne d'exécution, l'activité peut être plus visible pour la surveillance des points de terminaison ou l'enquête sur les incidents que les spawns de dialogue d'exécution utilisés par ClickFix — mais elle contrecarre toujours de nombreuses protections des utilisateurs finaux par tromperie.

Évolution des techniques des acteurs de la menace

Cette campagne témoigne d'une approche délibérée et bien financée : une infrastructure de phishing soigneusement conçue, une charge utile en plusieurs étapes et le recours à un hébergement tiers de confiance pour maximiser la furtivité et la portée opérationnelle. L'approche de l'attaquant indique qu'il a prévu d'éviter la détection générique et d'assurer une exécution fiable sur diverses cibles.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Attaque d'ingénierie sociale FileFix

Comment les victimes sont attirées

L’astuce FileFix

Chaîne d’attaque

Abus de services d’hébergement de confiance

Techniques d’obfuscation et d’anti-analyse

FileFix contre ClickFix

Évolution des techniques des acteurs de la menace

Soumettre un Commentaire

Tendance

ElementryCheck

Biggerupdateforvideos.best

Rançongiciel HiveWare

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord est bloqué sur un écran gris

Discord affiche un écran noir lors du partage d'écran