Predstavljena je nova tehnika društvenog inženjeringa nazvana “FileFix”, koja iskorištava funkcionalnost adresne trake u Windows File Exploreru za izvršavanje zlonamjernih naredbi, nudeći opasnu alternativu sve popularnijem metodu napada ClickFix.
Ovu tehniku je otkrio istraživač sigurnosti mr.d0x. Ona koristi funkcionalnost prijenosa datoteka u pregledniku kako bi otvorila Windows File Explorer i navela korisnike da izvrše PowerShell naredbe putem adresne trake, umjesto uobičajenog dijaloga za pokretanje.
Ova metoda zaobilazi mnoge programe za podizanje svijesti o sigurnosti koji se fokusiraju na prepoznavanje napada zasnovanih na dijalogu za pokretanje.
ClickFix napadi postali su značajna prijetnja od početka 2024. godine, a firme za sajber sigurnost prijavljuju porast ovih kampanja društvenog inženjeringa.
Metoda obično uključuje lažne poruke o greškama ili CAPTCHA upite koji upućuju korisnike da kopiraju i lijepe zlonamjerne naredbe u Windows dijalog za pokretanje (Windows tipka + R).
Prema nedavnim izvještajima o prijetnjama, ClickFix kampanje su viđene kako distribuiraju razne porodice zlonamjernog softvera, uključujući AsyncRAT, DarkGate, Lumma Stealer i NetSupport RAT.
Ove napade su usvojili brojni akteri prijetnji, od individualnih sajber kriminalaca do državnih grupa kao što su APT28 povezan s Rusijom i MuddyWater povezan s Iranom.
Metoda napada FileFix počinje uvjerljivom phishing web stranicom koja oponaša legitimne usluge dijeljenja datoteka. Kada korisnici kliknu na dugme “Open File Explorer”, JavaScript automatski kopira zlonamjernu PowerShell naredbu u međuspremnik, istovremeno pokrećući dijalog za prijenos datoteka u pregledniku.
Funkcionalnost prijenosa datoteka uzrokuje otvaranje Windows File Explorer-a, nakon čega napad zavisi od društvenog inženjeringa kako bi vodio korisnike kroz proces izvršavanja.
Zlonamjerna web stranica pruža upute korisnicima da zalijepe ono što vjeruju da je putanja datoteke u adresnu traku File Explorer-a koristeći Ctrl+L, ali međuspremnik zapravo sadrži skrivenu PowerShell naredbu, kako je rekao mr.d0x.
Ključni aspekt napada uključuje obskurnost naredbi, gdje je zlonamjerni PowerShell skript konkateniran s lažnom putanjom datoteke nakon znaka komentara, čineći da izgleda legitimno za neupućene korisnike. Na primjer: `Powershell.exe -c ping example.com # C:\\company\\internal-secure\\filedrive\\HRPolicy.docx`.
Napad iskorištava sposobnost Windows File Explorer-a da izvršava naredbe direktno iz adresne trake, značajku o kojoj mnogi korisnici nisu svjesni.
Sigurnosni istraživači su dokumentovali kako File Explorer može pokrenuti razne sistemske naredbe, uključujući PowerShell, Command Prompt i druge uslužne programe, kada se unesu u adresnu traku.
Istraživači su također identificirali sekundarnu varijaciju koja uključuje preuzimanje izvršnih datoteka i iskorištavanje činjenice da programi pokrenuti putem adresne trake File Explorer-a imaju uklonjen atribut Mark of the Web (MOTW). Ovo bi potencijalno moglo zaobići određene sigurnosne kontrole koje se oslanjaju na MOTW za otkrivanje prijetnji.
Tehnika FileFix predstavlja evoluciju u napadima društvenog inženjeringa, nadilazeći tradicionalnu metodu ClickFix, a zadržavajući sličnu efikasnost. Ovaj napad je posebno zabrinjavajući jer djeluje u potpunosti unutar okruženja preglednika i oslanja se na legitimne Windows funkcionalnosti.
Stručnjaci za sajber sigurnost preporučuju praćenje sumnjivih podređenih procesa koje pokreću preglednici, posebno cmd.exe i PowerShell.exe, kao i drugih sistemskih uslužnih programa. Organizacije bi također trebale ažurirati svoje programe za podizanje svijesti o sigurnosti kako bi uključili vektore napada zasnovane na File Exploreru, uz tradicionalne tehnike dijaloga za pokretanje.
Kako phishing napadi nastavljaju da se razvijaju, s prijavljenim povećanjem od 202% u ukupnim phishing porukama u 2024. godini, pojava FileFix-a pokazuje kako akteri prijetnji kontinuirano prilagođavaju svoje tehnike kako bi zaobišli sigurnosne mjere i programe za podizanje svijesti korisnika. Jednostavnost i efikasnost ovih napada zasnovanih na preglednicima naglašava kontinuirani izazov u odbrani od ciljanih kampanja društvenog inženjeringa usmjerenih na ljude.