Um novo ataque de engenharia social chamado FileFix está enganando usuários ao se passar por avisos de suspensão de contas da Meta para induzi-los a instalar, sem saber, o malware infostealer StealC.
FileFix é uma variação recente da família de ataques ClickFix, que utiliza artifícios de engenharia social para fazer com que a vítima cole comandos maliciosos em caixas de diálogo do sistema operacional, apresentados como supostas soluções para problemas.
Criada pelo pesquisador de red team mr.d0x, a técnica FileFix difere do ClickFix original ao explorar a barra de endereços do File Explorer, ao invés do terminal ou da caixa Executar do Windows, para executar os comandos maliciosos.
Esse método já havia sido usado anteriormente pelo grupo de ransomware Interlock para instalar seu trojan de acesso remoto (RAT), mas naquela ocasião, foi aplicada a versão original do FileFix, sem as novas iscas presentes na campanha atual.
Descoberta pela Acronis, a nova campanha usa uma página de phishing multilíngue que se apresenta como suporte da Meta, alertando que a conta do usuário será desativada em sete dias, a menos que ele visualize um suposto “relatório de incidente” compartilhado pela empresa.
Na verdade, esse relatório não é um documento, mas um comando PowerShell disfarçado, destinado a instalar malware no dispositivo da vítima.
A página de phishing instrui o usuário a clicar em um botão "Copiar" para copiar o que parece ser o caminho de um arquivo, abrir o File Explorer e colar esse caminho na barra de endereços para abrir o suposto documento.
Porém, ao clicar no botão “Copiar”, o conteúdo que vai para a área de transferência do Windows é um comando PowerShell com espaços adicionados estrategicamente.
Isso faz com que, ao colar na barra de endereços, apareça apenas o caminho do arquivo, ocultando o código malicioso.
“Inserir um espaço após a variável no final do payload cria a ilusão de que o usuário está colando o caminho para um arquivo PDF de relatório de incidente”, explica a Acronis.
Essa técnica evita que os comandos maliciosos fiquem visíveis na barra de endereços.
Diferente do método tradicional do ClickFix, que usa o símbolo # (comentário em PowerShell) para esconder comandos — um padrão conhecido pelos sistemas de detecção —, o FileFix usa variáveis com espaços, o que dificulta a identificação por ferramentas que monitoram comandos maliciosos antigos.
Além disso, esta campanha FileFix se destaca por empregar esteganografia para esconder um script PowerShell de segunda etapa e executáveis criptografados dentro de uma imagem JPG aparentemente inocente, hospedada no Bitbucket.
O comando PowerShell, inserido inadvertidamente pelo usuário, baixa essa imagem, extrai o script secundário embutido e o utiliza para descriptografar os payloads diretamente na memória do dispositivo.
O malware final instalado é o StealC infostealer, que tenta roubar diversas informações da máquina infectada, entre elas:
- Credenciais e cookies de autenticação de navegadores como Chrome, Firefox, Opera e Tencent
- Dados de aplicativos de mensagens, incluindo Discord, Telegram, Tox e Pidgin
- Carteiras de criptomoedas (Bitcoin, Ethereum, Exodus, etc.)
- Credenciais de serviços em nuvem, como AWS e Azure
- Informações de VPN e aplicativos de jogos, como ProtonVPN, Battle.net e Ubisoft
- Capacidade de capturar screenshots da área de trabalho ativa
Acronis identificou múltiplas variações dessa campanha ao longo de duas semanas, com diferentes payloads maliciosos, domínios e iscas.
“Durante nossa investigação, encontramos várias versões do ataque, retrocedendo duas semanas”, disse a Acronis.
Essas variações mostram a evolução tanto das técnicas de engenharia social quanto dos aspectos técnicos do ataque.
“Isso pode indicar que o atacante está testando uma infraestrutura para ataques futuros ou aprimorando a campanha em andamento, adaptando-se para aumentar sua efetividade.”
Embora muitas organizações já eduquem seus colaboradores sobre golpes de phishing, as técnicas ClickFix e FileFix ainda são relativamente recentes e continuam em desenvolvimento.
Por isso, a Acronis recomenda que empresas reforcem o treinamento sobre esses novos métodos e alertem seus usuários para os riscos de copiar comandos de páginas web e colá-los em diálogos do sistema que parecem inofensivos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...