Hackers adotaram uma nova técnica chamada 'FileFix' em ataques com o ransomware Interlock para instalar um trojan de acesso remoto (RAT) nos sistemas alvo.
As operações com o ransomware Interlock aumentaram nos últimos meses à medida que o ator de ameaça começou a usar o injetor web KongTuke (conhecido como 'LandUpdate808') para entregar payloads por meio de sites comprometidos.
Essa mudança no modus operandi foi observada pelos pesquisadores do The DFIR Report e da Proofpoint desde maio.
Naquela época, visitantes dos sites comprometidos eram induzidos a passar por uma falsa verificação de CAPTCHA e, depois, colar em um diálogo de execução (Run) o conteúdo automaticamente salvo na área de transferência, uma tática consistente com ataques ClickFix.
O truque levava os usuários a executar um script PowerShell que buscava e iniciava uma variante baseada em Node.js do Interlock RAT.
Em junho, os pesquisadores encontraram uma variante baseada em PHP do Interlock RAT usada "no mundo real", que foi entregue usando o mesmo injetor KongTuke.
No início deste mês, aconteceu uma mudança significativa no método de entrega, com o Interlock passando agora a utilizar a variação FileFix do método ClickFix como método de entrega preferencial.
FileFix é uma técnica de ataque de engenharia social desenvolvida pelo pesquisador de segurança mr.d0x.
É uma evolução do ataque ClickFix, que se tornou um dos métodos de distribuição de payload mais amplamente empregados no último ano.
Na variação FileFix, o atacante arma elementos confiáveis da interface do usuário do Windows, como o Explorador de Arquivos e Aplicações HTML (.HTA), para enganar os usuários a executar código malicioso PowerShell ou JavaScript sem exibir nenhum aviso de segurança.
Os usuários são induzidos a "abrir um arquivo" colando uma string copiada na barra de endereços do Explorador de Arquivos.
A string é um comando PowerShell disfarçado para parecer um caminho de arquivo usando sintaxe de comentário.
Nos ataques recentes com o Interlock, é solicitado aos alvos que colem um comando disfarçado com um falso caminho de arquivo no Explorador de Arquivos, levando ao download do PHP RAT de 'trycloudflare.com' e sua execução no sistema.
Após a infecção, o RAT executa uma série de comandos PowerShell para coletar informações do sistema e da rede e exfiltra esses dados como JSON estruturado para o atacante.
O relatório do DFIR também menciona evidências de atividade interativa, incluindo enumeração do Active Directory, verificação de backups, navegação em diretórios locais e exame de controladores de domínio.
O servidor de comando e controle (C2) pode enviar comandos shell para o RAT executar, introduzir novos payloads, adicionar persistência via uma chave de execução do Registro ou mover-se lateralmente via desktop remoto (RDP).
O ransomware Interlock foi lançado em setembro de 2024, reivindicando vítimas notáveis como a Texas Tech University, DaVita e Kettering Health.
A operação do ransomware tirou proveito do ClickFix para infectar alvos, mas sua transição para o FileFix indica que o atacante é rápido em adaptar-se a métodos de ataque mais furtivos.
Esta é a primeira confirmação pública do uso do FileFix em ataques cibernéticos reais.
É provável que ganhe mais popularidade à medida que os atores de ameaças exploram formas de incorporá-lo em suas cadeias de ataque.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...