Une attaque d’ingénierie sociale FileFix récemment découverte usurpe l’identité d’avertissements de suspension de méta-compte pour inciter les utilisateurs à installer sans le savoir le logiciel malveillant stealc infostealer.

FileFix est une nouvelle variante de la famille d’attaques ClickFix, qui utilise des attaques d’ingénierie sociale pour inciter les utilisateurs à coller des commandes malveillantes dans les boîtes de dialogue du système d’exploitation en tant que supposés « correctifs » pour les problèmes.

La technique FileFix a été créée par le chercheur de l’équipe red, m. d0x, et au lieu de convaincre les utilisateurs de coller des commandes PowerShell malveillantes dans la boîte de dialogue d’exécution Windows ou le terminal, FileFix abuse de la barre d’adresse de l’Explorateur de fichiers pour exécuter les commandes.

Ce n’est pas la première fois que FileFix est utilisé dans des attaques, le gang de ransomwares Interlock utilisant auparavant FileFix pour installer son cheval de Troie d’accès à distance (RAT). Cependant, ces attaques antérieures utilisaient la preuve de concept (PoC) originale de FileFix, plutôt que de la faire évoluer avec de nouveaux leurres.

Nouvelle campagne FileFix
La nouvelle campagne, découverte par Acronis, utilise une page de phishing multilingue qui se fait passer pour l’équipe d’assistance de Meta, avertissant les destinataires que leur compte sera désactivé dans sept jours à moins qu’ils ne consultent un « rapport d’incident » prétendument partagé par Meta.

Cependant, ce rapport n’est pas réellement un document, mais une commande PowerShell déguisée utilisée pour installer des logiciels malveillants sur les appareils des cibles.

La page de phishing demande aux utilisateurs de cliquer sur le bouton » Copier  » pour copier ce qui semble être un chemin de fichier, de cliquer sur le bouton Ouvrir l’Explorateur de fichiers, puis de coller le chemin dans la barre d’adresse de l’Explorateur de fichiers pour ouvrir le document.

Cependant, cliquer sur le bouton Copier copie en fait une commande PowerShell avec des espaces ajoutés dans le presse-papiers Windows, de sorte que seul le chemin du fichier est affiché lorsqu’il est collé dans l’Explorateur de fichiers.

« Afin de tromper l’utilisateur en lui faisant croire qu’il colle le chemin vers un fichier PDF de « rapport d’incident », l’attaquant a placé une variable à la fin de la charge utile, qui contient de nombreux espaces et le faux chemin à la fin », explique Acronis.

« Ceci est fait de sorte que seul le chemin du fichier apparaisse dans la barre d’adresse, et aucune des commandes malveillantes réelles. Dans une attaque ClickFix moyenne, cela se fait en utilisant le symbole # au lieu d’une variable, qui est prise par PowerShell comme commentaire de développeur. »

« Cela présente l’avantage involontaire que quiconque a construit ses détections pour rechercher le symbole » #  » de ClickFix risque de manquer cela. »

Attaque FileFix usurpant l’identité du support méta

Cette campagne FileFix se démarque car elle utilise la stéganographie pour masquer à la fois un script PowerShell de deuxième étape et des exécutables cryptés à l’intérieur de ce qui semble être une image JPG inoffensive hébergée sur Bitbucket.

La commande PowerShell de première étape, entrée sans le savoir par la cible, télécharge d’abord l’image, extrait le script secondaire incorporé, qui est ensuite utilisé pour déchiffrer les charges utiles en mémoire.

Deuxième script PowerShell incorporé dans l’image

La charge utile finale est le malware Stealc infostealer, qui tente de voler les données suivantes sur les appareils infectés:

  • Identifiants et cookies d’authentification des navigateurs Web (Chrome, Firefox, Opera, Tencent, etc.)
  • Informations d’identification des applications de messagerie (Discord, Telegram, Tox, Pidgin)
  • Portefeuilles de crypto-monnaie (Bitcoin, Ethereum, Exodus, etc.)
  • Informations d’identification Cloud (AWS, Azure)
  • VPN et applications de jeu (ProtonVPN, Battle.net, Ubisoft)
  • Possibilité de prendre une capture d’écran du bureau actif.

Acronis rapporte que plusieurs variantes de cette campagne ont été observées sur deux semaines, en utilisant différentes charges utiles, domaines et leurres.

« Tout au long de notre enquête, nous avons découvert plusieurs itérations de l’attaque, remontant à deux semaines », a observé Acronis.

« Grâce à ces itérations, nous pouvons retracer une évolution à la fois de la technique d’ingénierie sociale et des aspects plus techniques de l’attaque. »

« Peut-être s’agit-il d’une indication ou d’un attaquant testant une infrastructure qu’il envisage d’utiliser à l’avenir, ou peut-être s’agit-il d’itérations ajoutées à l’attaque au milieu de la campagne, à mesure que l’attaquant apprend à s’adapter et à s’améliorer. »

Alors que la plupart des organisations ont formé leurs employés aux tactiques d’hameçonnage, les tactiques ClickFix et FileFix restent relativement nouvelles et continuent d’évoluer.

Acronis recommande aux entreprises de sensibiliser leurs utilisateurs à ces nouvelles tactiques et aux risques de copier des données d’un site Web dans des boîtes de dialogue Système apparemment inoffensives.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *