Исследователи Acronis Threat Research Unit (TRU) обнаружили первую в истории активную кампанию FileFix, которая выходит за рамки первоначального доказательства концепции (Proof of Concept, POC). Атака отличается применением стеганографии для сокрытия вредоносного кода в изображениях и сложной многоэтапной инфраструктурой, что делает её одной из наиболее продвинутых в семействе *Fix-атак.
Описание
FileFix представляет собой вариант атаки, при котором пользователя обманом заставляют вставить вредоносную команду в адресную строку окна загрузки файлов вместо стандартного использования терминала или диалогового окна «Выполнить». Обнаруженная кампания использует фишинговый сайт, имитирующий страницу безопасности Facebook*, с поддержкой 16 языков, что указывает на глобальный характер целевых атак.
Особенностью этой кампании стало применение стеганографии - техники сокрытия данных внутри изображений. Злоумышленники размещают второй этап PowerShell-скрипта и зашифрованные исполняемые нагрузки в JPEG-файлах, которые выглядят как безобидные изображения. Это значительно усложняет обнаружение угрозы традиционными средствами защиты.
Многоэтапная цепочка заражения начинается с высокообфусцированной PowerShell-команды, которая фрагментирована и закодирована для обхода систем обнаружения. Последующие этапы включают декодирование, распаковку и выполнение дополнительных нагрузок с использованием переменных, кодирования Base64 и зашифрованных URL-адресов.
Финальная нагрузка доставляет инфостилер StealC, написанный на Go, который проверяет окружение на наличие виртуальных машин и использует шифрование строк. StealC нацелен на извлечение данных из браузеров, криптовалютных кошельков, мессенджеров и облачных сервисов, а также способен загружать дополнительное вредоносное ПО.
За последние две недели исследователи отметили быстрое развитие атаки с появлением множества вариантов нагрузок и методов доставки. Растущее количество обнаружений, связанных с кампанией, свидетельствует об её активизации. Инфраструктура атаки и многоязычная поддержка указывают на стратегию глобального таргетирования с предполагаемыми жертвами в различных странах.
Для защиты от подобных атак специалисты по безопасности рекомендуют усилить обучение пользователей, включив в программы подготовки информацию о *Fix-атаках и рисках выполнения непроверенных команд. Также следует блокировать выполнение PowerShell, CMD и других скриптов, запускаемых как дочерние процессы веб-браузеров, что предотвратит успешное выполнение подобных атак без существенного нарушения бизнес-процессов.
Обнаруженная кампания демонстрирует, как быстро техники из доказательств концепции превращаются в реальные угрозы, и подчеркивает важность постоянного мониторинга новых векторов атак для своевременного принятия защитных мер.
* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.
Индикаторы компрометации
Domains
- elprogresofood.com
- facebook.meta-software-worldwide.com
- facebook.windows-software-downloads.com
- facebook.windows-software-updates.cc
- facebook.windows-software-updates.com
- mastercompu.com
- thanjainatural.com
URLs
- Bitbucket.org/brubroddagrofe/
- Bitbucket.org/creyaucuronna-4413/
- Bitbucket.org/pibejiloiza/
- Grabify.link/5M6TOW
SHA256
- 06471e1f500612f44c828e5d3453e7846f70c2d83b24c08ac9193e791f1a8130
- 08fd6813f58da707282915139db973b2dbe79c11df22ad25c99ec5c8406b234a
- 1801da172fae83cee2cc7c02f63e52d71f892d78e547a13718f146d5365f047c
- 1d9543f7c0039f6f44c714fe8d8fd0a3f6d52fcae2a70b4bc442f38e01e14072
- 2654d6f8d6c93c7af7b7b31a89ebf58348a349aa943332ebb39ce552dde81fc8
- 7022f91f0534d980a4d77df20bea1ae53ee02f7c490efbfae605961f5170a580
- 70ae293eb1c023d40a8a48d6109a1bf792e1877a72433bcc89613461cffc7b61
- b3ce10cc997cd60a48a01677a152e21d4aa36ab5b2fd3718c04edef62662cea1
- fd30a2c90384bdb266971a81f97d80a2c42b4cec5762854224e1bc5c006d007a
