FileFix атака: новая эволюция ClickFix угрожает пользователям Windows через проводник

CyberSecureFox 🦊

Исследователь кибербезопасности mr.d0x представил новую технику атаки под названием FileFix, которая представляет собой усовершенствованную версию популярных среди киберпреступников атак ClickFix. Особенность новой методики заключается в использовании привычного интерфейса проводника Windows для принуждения пользователей к выполнению вредоносных команд.

Эволюция методов социальной инженерии

Атаки типа ClickFix основываются на принципах социальной инженерии и в последние годы демонстрируют устойчивую тенденцию к росту. Согласно данным компании ESET, использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период с второй половины 2024 года по первую половину 2025 года.

Классическая схема ClickFix-атак предполагает перенаправление жертв на мошеннические веб-ресурсы, где злоумышленники под различными предлогами убеждают пользователей скопировать и выполнить вредоносные PowerShell-команды. Наиболее распространенными сценариями являются имитация проблем с отображением контента в браузере или требование решить поддельную CAPTCHA.

Механизм работы FileFix атаки

Новая методика FileFix сохраняет основные принципы своего предшественника, но использует более изощренный подход к обману пользователей. Вместо командной строки злоумышленники эксплуатируют интерфейс проводника Windows, который воспринимается пользователями как более безопасный и привычный инструмент.

Теоретический сценарий FileFix-атаки начинается с фишинговой страницы, на которой отображается уведомление о предоставлении пользователю доступа к некому файлу. Для его поиска жертве предлагается скопировать путь и вставить его в проводник Windows.

Технические детали реализации

Фишинговая страница содержит кнопку «Открыть Проводник», которая при активации запускает File Explorer, используя функциональность загрузки файлов, и одновременно копирует вредоносную PowerShell-команду в буфер обмена системы. Особую опасность представляет способность злоумышленников маскировать вредоносный код.

Киберпреступники могут добавить фиктивный путь к файлу в комментарии PowerShell, в результате чего в адресной строке проводника отобразится только безобидный путь, а вредоносная команда останется скрытой от глаз пользователя.

Защитные механизмы и предотвращение случайных действий

При разработке FileFix-атаки исследователь уделил особое внимание предотвращению непреднамеренного выбора файлов с компьютера жертвы. В код тестовой фишинговой страницы были интегрированы специальные строки, блокирующие действия по загрузке файлов путем перехвата события выбора файла и немедленной очистки ввода.

Дополнительно злоумышленники могут отображать предупреждающие сообщения, информирующие жертву о том, что инструкции не были выполнены корректно, что побуждает к повторным попыткам и увеличивает вероятность успешной атаки.

Масштаб угрозы и целевые платформы

Хотя FileFix-атаки в первую очередь нацелены на пользователей операционной системы Windows, специалисты по информационной безопасности уже фиксируют аналогичные кампании, направленные против пользователей macOS и Linux. Это свидетельствует о универсальности принципов социальной инженерии, лежащих в основе подобных атак.

Появление FileFix демонстрирует постоянную эволюцию методов киберпреступников и их стремление адаптировать тактики под изменяющиеся привычки пользователей. Использование привычного интерфейса проводника делает атаку более убедительной и снижает подозрения потенциальных жертв. Организациям и частным пользователям необходимо повышать осведомленность о новых угрозах и развивать навыки критического анализа подозрительных веб-страниц, особенно тех, которые требуют выполнения каких-либо команд или действий в системе.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.