新型FileFix社工攻擊誘導用戶安裝StealC信息竊取惡意軟件

近期發現的FileFix社會工程學攻擊，通過偽裝Meta（原Facebook）賬號封禁警告，誘導用戶在不知情的情況下安裝StealC信息竊取惡意軟件。

FileFix是ClickFix攻擊家族的新變種，這類攻擊均通過社會工程學手段，欺騙用戶將惡意命令粘貼到操作系統對話框中，謊稱這些命令是解決問題的“修復方案”。

該FileFix技術由紅隊研究員mr.d0x開發，與ClickFix不同的是：它不再誘導用戶將惡意PowerShell命令粘貼到Windows“運行”對話框或終端，而是濫用文件資源管理器的地址欄執行命令。

FileFix并非首次用于攻擊——此前Interlock勒索軟件團伙曾利用它安裝遠程訪問木馬（RAT），但早期攻擊僅使用FileFix的原始概念驗證代碼（PoC），未對誘騙手段進行升級。

新型FileFix攻擊活動

Acronis公司發現的這場新攻擊中，攻擊者搭建了多語言釣魚頁面，偽裝成Meta客服團隊，向用戶發出警告：若不查看據稱由Meta發送的“事件報告”，其賬號將在7天內被封禁。然而，所謂的“報告”并非真實文檔，而是用于在目標設備上安裝惡意軟件的偽裝PowerShell命令。

釣魚頁面引導用戶執行以下操作：點擊“復制”按鈕復制看似文件路徑的內容→點擊“打開文件資源管理器”按鈕→將復制的“路徑”粘貼到地址欄以打開“報告”。

但實際上，點擊“復制”按鈕后，Windows剪貼板中保存的是一段插入了大量空格的PowerShell命令——這樣一來，當用戶粘貼到文件資源管理器時，僅會顯示末尾的“文件路徑”，隱藏真實的惡意命令。

Acronis解釋道：“為讓用戶誤以為粘貼的是‘事件報告’PDF文件的路徑，攻擊者在載荷末尾設置了一個變量，該變量包含大量空格，且末尾附帶偽造路徑。”

這種設計能確保地址欄中僅顯示文件路徑，而不會暴露任何惡意命令。在常規ClickFix攻擊中，攻擊者會用 # 符號替代變量——PowerShell會將 # 后的內容視為開發者注釋，從而隱藏惡意代碼。

這一改動帶來了一個意外優勢：若安全檢測規則是針對ClickFix的 # 符號設計的，很可能會遺漏此次攻擊。

FileFix攻擊冒充Meta支持

此次FileFix攻擊的另一大特點是：利用隱寫術將“第二階段PowerShell腳本”與“加密可執行文件”隱藏在一張看似無害的JPG圖片中，該圖片托管于Bitbucket平臺。

用戶在不知情的情況下執行第一階段PowerShell命令后，命令會先下載這張圖片，提取其中嵌入的第二階段腳本，再通過該腳本在內存中解密惡意載荷。

嵌入圖像中的第二個PowerShell腳本

最終投放的惡意載荷是StealC信息竊取軟件，它會嘗試從受感染設備中竊取以下數據：

·網頁瀏覽器（Chrome、Firefox、Opera、騰訊瀏覽器等）中的憑據與認證Cookie；

·即時通訊軟件（Discord、Telegram、Tox、Pidgin）中的憑據；

·加密貨幣錢包（比特幣、以太坊、Exodus等）相關數據；

·云服務憑據（AWS、Azure）；

·VPN與游戲應用（ProtonVPN、戰網、育碧客戶端）中的信息；

·對當前桌面進行截圖的權限。

攻擊迭代與防御建議

Acronis報告稱，過去兩周內已觀察到該攻擊的多個變種，這些變種使用不同的載荷、域名與誘騙話術。通過這些變化，能看到攻擊者在社會工程學手段與攻擊技術細節兩方面的演進。

這可能表明攻擊者在測試未來計劃使用的基礎設施，也可能是攻擊者在攻擊過程中不斷學習、調整策略，為攻擊新增迭代版本以提升成功率。

盡管多數企業已對員工開展釣魚攻擊防范培訓，但ClickFix與FileFix這類新型攻擊手段仍相對新穎，且在持續進化。建議企業向員工普及這類新型攻擊手段，對從網站復制內容并粘貼到看似無害的系統對話框中可能存在的風險保持警惕。

參考及來源：https://www.bleepingcomputer.com/news/security/new-filefix-attack-uses-steganography-to-drop-stealc-malware/