Експерт з кібербезпеки mr.d0x представив громадськості нову методику кіберзлочинів під назвою FileFix, яка є еволюційним продовженням широко відомих ClickFix-атак. Принципова відмінність нового підходу полягає в експлуатації звичного інтерфейсу провідника Windows для маніпулювання користувачами та примушування їх до виконання шкідливих команд.
Статистика зростання ClickFix-атак
Методи соціальної інженерії продовжують демонструвати стійку тенденцію до поширення серед кіберзлочинців. За даними аналітичної компанії ESET, використання ClickFix як вектора первинного доступу зросло на 517% протягом останнього періоду спостереження, що свідчить про високу ефективність цього типу атак.
Традиційні ClickFix-атаки базуються на перенаправленні потенційних жертв на шахрайські веб-ресурси. На цих сайтах зловмисники використовують різноманітні сценарії для переконання користувачів скопіювати та виконати вредоносні PowerShell-команди, найчастіше імітуючи проблеми з відображенням контенту або вимагаючи розв’язання фальшивої CAPTCHA.
Технічні особливості FileFix-методики
Нова техніка FileFix зберігає фундаментальні принципи попередника, але впроваджує більш витончений механізм обману. Замість використання командного рядка, який може викликати підозри, зловмисники експлуатують інтерфейс провідника Windows – інструмент, який користувачі сприймають як безпечний та звичний.
Алгоритм FileFix-атаки починається з фішингової сторінки, де відображається повідомлення про надання доступу до певного файлу. Для його пошуку жертві пропонується скопіювати шлях та вставити його в провідник Windows, що створює ілюзію легітимної операції.
Механізм маскування вредоносного коду
Фішингова сторінка містить кнопку “Відкрити Провідник”, яка при активації запускає File Explorer через функціональність завантаження файлів і одночасно копіює шкідливу PowerShell-команду в системний буфер обміну. Особливу небезпеку становить здатність зловмисників ефективно маскувати вредоносний код.
Кіберзлочинці можуть додавати фіктивний шлях до файлу в коментарі PowerShell, внаслідок чого в адресному рядку провідника відображається лише нешкідливий шлях, тоді як вредоносна команда залишається прихованою від користувача.
Захисні механізми та попередження випадкових дій
При розробці FileFix-атаки дослідник приділив особливу увагу запобіганню ненавмисному вибору файлів з комп’ютера жертви. У код тестової фішингової сторінки були інтегровані спеціальні рядки, що блокують дії з завантаження файлів шляхом перехоплення події вибору файлу та миттєвого очищення введення.
Додатково зловмисники можуть відображати попереджувальні повідомлення, що інформують жертву про некоректне виконання інструкцій. Це спонукає до повторних спроб і збільшує ймовірність успішної атаки.
Масштаби загрози та цільові платформи
Хоча FileFix-атаки первинно орієнтовані на користувачів операційної системи Windows, фахівці з інформаційної безпеки вже фіксують аналогічні кампанії проти користувачів macOS та Linux. Це демонструє універсальність принципів соціальної інженерії, що лежать в основі подібних атак.
Поява FileFix ілюструє постійну еволюцію методів кіберзлочинців та їхнє прагнення адаптувати тактики під мінливі звички користувачів. Використання звичного інтерфейсу провідника робить атаку більш переконливою та знижує підозри потенційних жертв. Організаціям і приватним користувачам необхідно підвищувати обізнаність про нові загрози та розвивати навички критичного аналізу підозрілих веб-сторінок, особливо тих, що вимагають виконання будь-яких команд або дій у системі.
