犯罪份子已開始使用新變種的ClickFix技術,名為FileFix透過社交工程策略讓受害者於自己裝置上執行惡意編碼,而兩個版本的分別在於執行的指令,FileFix會誘騙受害者把指令貼到Windows的檔案總管地址列中。
操縱受害者執行程式碼
與ClickFix相似,FileFix的攻擊大多數由釣魚電郵開始,引導受害者到偽裝成合法網上服務的網站,假網站會顯示錯誤訊息阻止存取服務的正常功能,提示用戶如果要解決問題,需要進行一系列的環境檢查或「診斷」過程,並要求用戶執行特定的檔案,可能是已在受害者的電腦內又或者即時下載,只需要把檔案路徑貼到Windows檔案總管的地址列,再指示用戶打開檔案總管,然後按Ctrl+L進入地址列,按Ctrl+V貼上「檔案路徑」後按Enter。
當中狡滑之處是,極長的檔案路徑只有最後十數字的指令可見,路徑前面是一串空格,在更前方是攻擊者打算執行的真正惡意內容,空格是為了確保用戶貼上指令後看不到可疑的內容,由於完整字串遠長於地址列的可見位置,只有無害的檔案路徑留在可見範圍,真正的內容需要用戶貼在純文字檔內才能見到。
惡意腳本執行後
由合法用戶執行PowerShell腳本可以在多個方向造成問題,一切取決於公司的保安策略和特定用戶的權限,以及受害者電腦上存在的保安方案,攻擊者以往曾使用過名為「cache smuggling」技術,相同的假網站儲存了JPEG格式檔案在瀏覽器的暫存記憶體內準備FileFix攻擊,其實內含壓縮後的惡意程式,通過惡意腳本進行解壓並在受害者的電腦上執行,這種方法讓最終的惡意內容抵達電腦而無需公開檔案下載或可疑的網絡要求,整個過程保持隱蔽。
防範ClickFix和FileFix
防範ClickFix的最簡單方法,是封鎖Win+R指令在工作裝置上運作,正常辦公室的工作極少機會使用「執行」對話框,在FileFix的個案中情況有點複雜,在地址列貼指令可以是正常用戶行為,封鎖Ctrl+L則不太理想,因為它被多款應用程式應用作合法用途,以及用戶仍然能透過滑鼠進入檔案總管的地址列,無法阻止攻擊。所以在工作裝置上部署可靠的保安方案,防止執行危險程式碼更為實際,而定期為員工培訓資安警覺性,防範依靠社交工程發動的攻擊。
資料來源:Kaspersky Blog
