کمیته رکن چهارم– پژوهشگران امنیتی از کشف یک کمپین فیشینگ جدید خبر دادهاند که با استفاده از واریانت تازهای از تاکتیک مهندسی اجتماعی به نام FileFix و صفحات فیشینگ چندزبانه، بدافزار سرقت اطلاعات StealC را توزیع میکند. این حمله با صفحات جعلی بسیار متقاعدکننده، از جمله نسخهای شبیهسازیشده از «Facebook Security»، کاربران را فریب داده و به باز کردن فایلها یا لینکهای بهظاهر بیخطر ترغیب میکند.
به گزارش کمیته رکن چهارم، زنجیره حمله از کلیک روی دکمهای در صفحه فیشینگ آغاز میشود؛ صفحهای که بهطور پنهانی فرمانی مخرب را در کلیپبورد کپی میکند و کاربر را وادار میسازد آن مسیر را در نوار آدرس File Explorer پیست کند. فرمان مخرب یک اسکریپت PowerShell چندمرحلهای را اجرا میکند که تصویر دانلودشده را رمزگشایی و یک لودر نوشتهشده با زبان Go را اجرا مینماید؛ در نهایت StealC راهاندازی و اطلاعات قربانی سرقت میشوند. مهاجمان برای فرار از شناسایی از ابهامسازی و تکنیکهای ضدتحلیل و نیز میزبانی اجزای مخرب روی پلتفرمهای مشروع مانند Bitbucket استفاده کردهاند.
پژوهشگران هشدار دادهاند که FileFix نسبت به روشهای پیشین مانند ClickFix پیچیدگی فنی متفاوتی دارد و بهدلیل سوءاستفاده از قابلیتهای آپلود مرورگر، احتمال شناسایی آن توسط ابزارهای امنیتی کمتر است. گزارشها نشان میدهد بازیگران تهدید از اسکریپتهای AutoHotkey و پروفایلسازی میزبان برای تحویل مجموعهای از بدافزارها، از جمله ابزارهای دسترسی از راه دور و ربایندههای کیفپول رمزارز، بهره میبرند. جمعبندی اینکه این کمپین نمونهای از تکامل تاکتیکهای فیشینگ است و نیاز به هوشیاری کاربران و تقویت سازوکارهای فنی دفاعی دارد.
