Исследователь кибербезопасности mr.d0x представил новую технику атаки под названием FileFix, которая представляет собой усовершенствованную версию популярных среди киберпреступников атак ClickFix. Особенность новой методики заключается в использовании привычного интерфейса проводника Windows для принуждения пользователей к выполнению вредоносных команд.
Эволюция методов социальной инженерии
Атаки типа ClickFix основываются на принципах социальной инженерии и в последние годы демонстрируют устойчивую тенденцию к росту. Согласно данным компании ESET, использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период с второй половины 2024 года по первую половину 2025 года.
Классическая схема ClickFix-атак предполагает перенаправление жертв на мошеннические веб-ресурсы, где злоумышленники под различными предлогами убеждают пользователей скопировать и выполнить вредоносные PowerShell-команды. Наиболее распространенными сценариями являются имитация проблем с отображением контента в браузере или требование решить поддельную CAPTCHA.
Механизм работы FileFix атаки
Новая методика FileFix сохраняет основные принципы своего предшественника, но использует более изощренный подход к обману пользователей. Вместо командной строки злоумышленники эксплуатируют интерфейс проводника Windows, который воспринимается пользователями как более безопасный и привычный инструмент.
Теоретический сценарий FileFix-атаки начинается с фишинговой страницы, на которой отображается уведомление о предоставлении пользователю доступа к некому файлу. Для его поиска жертве предлагается скопировать путь и вставить его в проводник Windows.
Технические детали реализации
Фишинговая страница содержит кнопку «Открыть Проводник», которая при активации запускает File Explorer, используя функциональность загрузки файлов, и одновременно копирует вредоносную PowerShell-команду в буфер обмена системы. Особую опасность представляет способность злоумышленников маскировать вредоносный код.
Киберпреступники могут добавить фиктивный путь к файлу в комментарии PowerShell, в результате чего в адресной строке проводника отобразится только безобидный путь, а вредоносная команда останется скрытой от глаз пользователя.
Защитные механизмы и предотвращение случайных действий
При разработке FileFix-атаки исследователь уделил особое внимание предотвращению непреднамеренного выбора файлов с компьютера жертвы. В код тестовой фишинговой страницы были интегрированы специальные строки, блокирующие действия по загрузке файлов путем перехвата события выбора файла и немедленной очистки ввода.
Дополнительно злоумышленники могут отображать предупреждающие сообщения, информирующие жертву о том, что инструкции не были выполнены корректно, что побуждает к повторным попыткам и увеличивает вероятность успешной атаки.
Масштаб угрозы и целевые платформы
Хотя FileFix-атаки в первую очередь нацелены на пользователей операционной системы Windows, специалисты по информационной безопасности уже фиксируют аналогичные кампании, направленные против пользователей macOS и Linux. Это свидетельствует о универсальности принципов социальной инженерии, лежащих в основе подобных атак.
Появление FileFix демонстрирует постоянную эволюцию методов киберпреступников и их стремление адаптировать тактики под изменяющиеся привычки пользователей. Использование привычного интерфейса проводника делает атаку более убедительной и снижает подозрения потенциальных жертв. Организациям и частным пользователям необходимо повышать осведомленность о новых угрозах и развивать навыки критического анализа подозрительных веб-страниц, особенно тех, которые требуют выполнения каких-либо команд или действий в системе.
